当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0133584

漏洞标题:妈妈网大量弱口令导致大量信息泄露(涉及多个后台/工资/支付等)

相关厂商:妈妈网

漏洞作者: ago

提交时间:2015-08-12 14:10

修复时间:2015-09-26 15:20

公开时间:2015-09-26 15:20

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-12: 细节已通知厂商并且等待厂商处理中
2015-08-12: 厂商已经确认,细节仅向厂商公开
2015-08-22: 细节向核心白帽子及相关领域专家公开
2015-09-01: 细节向普通白帽子公开
2015-09-11: 细节向实习白帽子公开
2015-09-26: 细节向公众公开

简要描述:

妈妈网大量弱口令导致大量信息泄露

详细说明:

很多mail,里面涉及了大量密码后台信息

[+] Login successful: yuanya@mama.cn mama1234
[+] Login successful: lida@mama.cn mama1234
[+] Login successful: yangbing@mama.cn mama1234
[+] Login successful: fengchy@mama.cn mama1234
[+] Login successful: huxx@mama.cn mama1234
[+] Login successful: liwh@mama.cn mama1234
[+] Login successful: kanglei@mama.cn mama1234
[+] Login successful: tiantian@mama.cn mama1234
[+] Login successful: zhaoyun@mama.cn mama1234
[+] Login successful: mengqin@mama.cn mama1234
[+] Login successful: xuqin@mama.cn mama1234
[+] Login successful: gaokai@mama.cn mama1234
[+] Login successful: qiuyc@mama.cn mama1234
[+] Login successful: wanghy@mama.cn mama1234
[+] Login successful: jianghm@mama.cn mama1234
[+] Login successful: liyan@mama.cn mama1234
[+] Login successful: shixh@mama.cn mama1234
[+] Login successful: yy@mama.cn mama1234
[+] Login successful: zhangying@mama.cn mama1234
[+] Login successful: tianchun@mama.cn mama1234
[+] Login successful: linxh@mama.cn mama1234
[+] Login successful: wusy@mama.cn mama1234
[+] Login successful: lvzm@mama.cn mama1234
[+] Login successful: xuya@mama.cn mama1234
[+] Login successful: caigoubu@mama.cn mama1234
[+] Login successful: smc@mama.cn mama1234
[+] Login successful: chendp@mama.cn mama123
[+] Login successful: zhaoshuai@mama.cn mama123
[+] Login successful: zhousm@mama.cn mama123
[+] Login successful: wujf@mama.cn mama123
[+] Login successful: gaorf@mama.cn mama123
[+] Login successful: lishan@mama.cn mama123
[+] Login successful: dengxb@mama.cn mama123
[+] Login successful: tangrui@mama.cn mama123
[+] Login successful: tianxy@mama.cn mama123
[+] Login successful: daiy@mama.cn mama123
[+] Login successful: sunyanan@mama.cn mama123
[+] Login successful: jiaoyl@mama.cn mama123
[+] Login successful: zhanghzh@mama.cn mama123
[+] Login successful: wuhn@mama.cn mama123
[+] Login successful: chencw@mama.cn mama123
[+] Login successful: adsy@mama.cn mama123

漏洞证明:

举例说明

555.png


444.png


http://redmine.xamama.com.cn:81/login   redmine后台
http://std.mama.cn/svn/sites/sites/mmq_published/mapi_published   svn


考勤系统

55.png


1、国内支付宝:
     账号:al****@mama.cn    登陆密码:****105       广州盛成网络科技有限公司        (使用时间:2015-8-4前)
     账号:sc****@mama.cn  登陆密码:****014             广州树懒熊电子商务有限公司      (使用时间:2015-8-4后)
2、国际支付宝:
     账号:xs***@mama.cn   登录密码:x****    小树熊有限公司            (公司邮箱密码:GZSC2468)(已停用,可登陆)
     账号:tech***@mama.cn     登录密码:te****  泰舟科技有限公司          (公司邮箱密码:mama246)(使用时间:分账功能上线前)
     账号:xsxs***@mama.cn      登录密码: x****       泰舟科技有限公司分账专用账号     (公司邮箱密码:ma***)(使用时间:分账功能上线后)
   
3、微信支付(财付通)
妈妈圈(使用时间:2015-8-4前)(证书暂缺)
     微信支付商户号:1219808101
     财付通登录账号:1219808101
     财付通登录密码:ma***
     
怀孕管家(使用时间:2015-8-4前)
    微信支付商户号:1220211801
    财付通登录账号:1220211801
    财付通登录密码:1****
小树熊母婴精选公众号(使用时间:2015-8-4前)
   公众号账号:2970904177@qq.com  密码:****2014
   微信支付商户号:10065192
   商户平台登录账号:10065192@10065192
   商户平台登录密码:****
   财付通登录账号:1225903701
   财付通登录密码:****
小树熊供应商平台   (微信收款账号,广州树懒熊电子商务有限公司)(使用时间:2015-8-4后)
  登录地址:https://pay.weixin.qq.com/index.php/home/login?return_url=%2F
  公众号账号:xsxhk@mama.cn     密码:GZ***
  公众号的邮箱:xsxhk@mama.cn  密码:GZ***
  微信支付商户号 1238041402
  商户平台登录账号:1238041402@1238041402
  商户平台登录密码:25***
  财付通登录账号:12380***
  财付通登录密码:****
  密钥:xiaoshuxiong***********2015


试客圈

4444.png


你们的合同系统账号已开通,合同系统连接:http://contract.mama.cn:9098/admin.php
        账号名:姓名
        初始密码:123456
社区发帖统一账号:妈圈调查局
密码:mama*****


妈妈圈管理后台之一

444.png


各种推广之一

333.png


还有很多。。等等,希望能给你们敲响警钟

修复方案:

加强员工安全意识

版权声明:转载请注明来源 ago@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-08-12 15:18

厂商回复:

非常感谢,由于弱口令所引发的问题,我们要牢记

最新状态:

暂无