当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-056985

漏洞标题:川渝中烟工业公司后台弱口令

相关厂商:川渝中烟工业公司

漏洞作者: 木糖醇

提交时间:2014-04-14 11:28

修复时间:2014-05-29 11:29

公开时间:2014-05-29 11:29

漏洞类型:后台弱口令

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-05-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

川渝中烟工业公司后台弱口令,可查询修改删除全国用户、管理权限等操作。

详细说明:

漏洞地址:
http://sellwt.cytobacco.com/login.do?method=init

1.jpg


查看:大区管理人员操作说明可以看到默认口令1

.jpg


通过模糊检索等查到中心人员之一:黄家有,用默认口令测试,登陆成功!

2.jpg


登陆后各种操作畅通无阻,修改自己权限,添加管理帐号等等……

.jpg


.jpg


.jpg


这里就好像是把自家的钥匙放在门口,还告诉别人钥匙的位置,让别人自己主动进自己家一样。而且不乏一些用户123456的口令存在,还是中心的呢。

4.jpg


稍微动用下社工或者别的动作话,估计这个漏洞会让贵公司头疼一阵吧?
呵呵,我只是进去逛了下,别差我水表啊,哈哈……,给礼物的话还是可以接受的。。

漏洞证明:

2.jpg


.jpg


更多证明详细说明中已经说过了,这里就不再赘述了。

修复方案:

全国公司通知修改弱口令,默认口令!

版权声明:转载请注明来源 木糖醇@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝