当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-041851

漏洞标题:中国气象局气象干部培训学院设计缺陷及弱口令可造成约几十万工作人员信息泄漏

相关厂商:中国气象局

漏洞作者: cuger

提交时间:2013-11-04 16:39

修复时间:2013-12-19 16:39

公开时间:2013-12-19 16:39

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-04: 细节已通知厂商并且等待厂商处理中
2013-11-08: 厂商已经确认,细节仅向厂商公开
2013-11-18: 细节向核心白帽子及相关领域专家公开
2013-11-28: 细节向普通白帽子公开
2013-12-08: 细节向实习白帽子公开
2013-12-19: 细节向公众公开

简要描述:

中国气象局气象干部培训学院设计缺陷及弱口令造成整个中国气象局组织架构及工作人员信息泄漏

详细说明:

中国气象局气象干部培训学院设计缺陷导致可以遍历员工ID,加上管理员和员工安全意识不足,弱口令登录后台,造成整个中国气象局行政机构和下属大陆各省以及港澳气象局工作人员信息泄漏,可社工。。。。可参加内部视频培训,甚至造成更大的社会危害。
http://www.cmatc.cma.gov.cn/www/res/index/index.shtml

漏洞证明:

1、问题出在这里,如下图。

0.jpg


不知道用户ID?没关系,点击“用户ID查找”,随便输入test

1.jpg

看到没,包含test的用户都出来了,看图中蓝色框出来的东西,id和密码一样哦,OK,这两个都可以登录,就不贴图了。下面是关键,从字母a遍历到z发现一个ID全部是字母的神奇ID,看ID就知道是一个很霸气的帐号,于是登录

2.jpg


于是就出现了下图整个中国气象局的组织架构和人员信息

3.jpg


从ID判断,没有90万,估计也差不离吧。。。。贴2张图说明下员工数量

7.jpg


8.jpg


2、在线观看内部培训视频及视频FTP服务器
ftp服务器内部地址及用户密码泄漏,包含大量内部培训视频,并且可以控制服务器的启停,如果通过下发可见的方式下发恶意软件会不会很严重?纯属猜测。。。。

4.jpg

5.jpg


ftp服务器开了web端口,就不拿shell了
3、testadmin帐号,可以进资源管理后台,上传了一个test文件,貌似还要审核?没继续下去了

6.jpg


先写到这里吧,没有把员工信息导出来,可查日志。未留后门,未作破坏,不要双十一送快递。

修复方案:

如上,查找id功能建议去掉,加强员工安全意识,修改弱口令。

版权声明:转载请注明来源 cuger@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2013-11-08 22:48

厂商回复:

最新状态:

暂无