当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-068712

漏洞标题:400电话隐私泄漏之二涉及不健康录音(泄漏拨打与接听具体号码)

相关厂商:400电话

漏洞作者: 兜兜揣肉包

提交时间:2014-07-16 12:49

修复时间:2014-08-30 12:50

公开时间:2014-08-30 12:50

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-16: 细节已通知厂商并且等待厂商处理中
2014-07-20: 厂商已经确认,细节仅向厂商公开
2014-07-30: 细节向核心白帽子及相关领域专家公开
2014-08-09: 细节向普通白帽子公开
2014-08-19: 细节向实习白帽子公开
2014-08-30: 细节向公众公开

简要描述:

我都不想说了

详细说明:

1、开了1433端口,而且我也告诉你了.结果你们不修改.只是修改了http://vip.400cti.com.cn/登录页面管理员的密码.请问这个有用吗?
服务器:vip.400cti.com.cn
数据库管理员:400v3
数据库密码:ju******ku

190916028341e25296b5fb2738d979f7ed303ecf.jpg


请问这种情况下你修改admin管理员密码有用吗?反正我是发现了你们除了修改admin密码外什么也没做.而且修改的速度特慢.
管理员密码,谁有钱自己去买去:

QQ截图20140716105851.jpg


2、企业信息泄漏

QQ截图20140716105232.jpg


3、照样进系统.
无论是update更新密码,再还原.还是用其他帐号都可以进系统
通过另一个管理员进了系统
帐号:guanliyuan 密码:20*****0

QQ截图20140716114257.jpg


4、电话录音还是没有屏蔽掉;地址 http://119.7.**.***:9090/monitor/
录音从2013-12-01开始至今,一只在继续.目测现在至少有上千万条电话录音.都是隐私!!!

QQ截图20140716114922.jpg


QQ截图20140716115009.jpg


5、下面是最劲爆的经网友发现线索.我进行深挖.先发现有人通过400电话进行卖淫嫖娼活动,希望贵公司进行查处.
录音贴出来两个
http://119.7.**.***:9090/monitor/%5b2014-7-08%5d/015121045028-018182323298-1404765410.8436-043650.wav
http://119.7.**.***:9090/monitor/[2014-7-07]/015121045028-015595397889-1404745379.8285-230259.wav
(都在问小姐漂亮吗?有学生妹,少妇~~~~等等)
6、曝光嫖娼企业
经过我的深度发觉,找到了这个挂羊头卖狗肉的企业.当然到底是不是还要你们自己甄别
企业信息

161157494a46bdafd8aed407a6cecee9072f7a5e.jpg


嫖娼电话录音记录:

16115823b13cbbecb9516595f3e5977a0e56694c.jpg


大家注意到了,记录总数:1422 时间都集中在凌晨4~5点钟

漏洞证明:

请问贵公司是在放纵嫖娼吗?

修复方案:

换个网管或许更好

版权声明:转载请注明来源 兜兜揣肉包@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2014-07-20 22:28

厂商回复:

最新状态:

暂无