当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0143904

漏洞标题:圆通某系统弱口令可导致某省份58和赶集网招聘账号泄露(涉及大量应聘者简历)

相关厂商:圆通

漏洞作者: 默之

提交时间:2015-09-28 18:25

修复时间:2015-11-22 17:18

公开时间:2015-11-22 17:18

漏洞类型:后台弱口令

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-28: 细节已通知厂商并且等待厂商处理中
2015-10-08: 厂商已经确认,细节仅向厂商公开
2015-10-18: 细节向核心白帽子及相关领域专家公开
2015-10-28: 细节向普通白帽子公开
2015-11-07: 细节向实习白帽子公开
2015-11-22: 细节向公众公开

简要描述:

弱口令

详细说明:

首先收集账户信息,得到十几个账户

00107034
ytosmzf
00000254
00509798
00484367
00449307
00421016
00486732
00146134
00003475
00615608
00005793
00230464
00164268
00443752
00039450
00001784
00070459
00000228
00214502
00001169
00359586
00353964
00000303
huruiqi
00000216
00000226
00300259
00478979
00038282
00109984
00100415


密码就尝试各种弱口令,top100弱口令和yto+工号结合的,最终还是比较幸运爆出来一枚账号,还是人力资源经理

爆破一枚.png


赶集.png


账号没有太多可以利用的资源,没有通讯录什么的,那就不考虑再爆破其他的账户了
这是一个人力资源的账户,想到可以看很多简历
不知道58和赶集的密码,那就找回密码吧!
账号都是
00478979@yto.net.cn
密码已经改为yto00478979,望修改回来

58.png


58-1.png


简历.png


赶集1.png

漏洞证明:

58-1.png


修复方案:

加强教育,修改口令为较为复杂的

版权声明:转载请注明来源 默之@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-10-08 17:16

厂商回复:

非常感谢白帽子,已经修复了。

最新状态:

暂无