WooYun.org

https://github.com/opensource-kisszpy/apps/blob/a3dd98ece652db367a75eddf3616e82888fbcd76/app-sns/src/main/filter/dev.properties

泄露了一个数据库连接信息，一个短信平台的用户密码，一个邮箱的账号，还有一个zk的地址
数据库可以直接外联，

用户表有600W+的数据

看了前2条记录，第一个用户是足记管理员的

看了表中最后一个uid的人，注册时间是3月19号，然后我也注册了一个用户，该表并没有我的信息，那么这个库应该是一个备份库

虽然用户的密码是加密的，但是有一个字段cookie可以直接用来登录任意用户足记
下面实测查看uid为2那个人的足记消息
首先可以在足记app搜索uid为2的用户和数据库匹配

然后在我新注册的足记用户里面点消息，用bp抓包修改uid和token字段

然后可以看见该用户的消息

还可以让任意用户关注我
直接修改关注的请求，把uid和targetuid对换，token换成uid2的

然后uid2的用户就是我的粉丝了

这个用户应该是你们员工，因为测试完发现uid3是你们的ceo ，取消关注我就行=。=
而且貌似这个token是一直有效的
然后泄露的邮箱帐号也可登录
exmail.qq.com

足记某小编的,里面邮件涉及部分用户信息以及一些商业合作邮件

然后还泄露了整个公司的通讯录，可以看到ceo，cto的电话