国药集团某处配置不当导致大量内部信息泄露

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0158632

漏洞标题：国药集团某处配置不当导致大量内部信息泄露

漏洞作者： %7F路人甲%7F

提交时间：2015-12-07 12:13

修复时间：2016-01-23 15:16

公开时间：2016-01-23 15:16

漏洞类型：后台弱口令

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-12-07：细节已通知厂商并且等待厂商处理中
2015-12-11：厂商已经确认，细节仅向厂商公开
2015-12-21：细节向核心白帽子及相关领域专家公开
2015-12-31：细节向普通白帽子公开
2016-01-10：细节向实习白帽子公开
2016-01-23：细节向公众公开

简要描述：

...

详细说明：

WooYun: 国药集团某公司存在多处SQL注入漏洞(DBA权限/时间盲注/员工手机/邮箱等等) 这个注入，貌似网站加了防御，可是那么多密码为123456的账号被列出来都没有改啊！！！
如下

anbao
ayx
baihua
bcl
bjcgb
bjcwb
bjgsqyxsb
bjgstryyb
bjgsxsb
bjgszzbsc
bjhd
bjkf
cdh
chendongqing
chenj
chenlei
chenpeisheng
chenxiangrong
chenyajun
cjj
cwm
cxh
cyj
cz
czl
czr
ddqr
demo
dengguangjun
dingjiwei
dingxh
dly
dxh
fc
fengjun
fm
fr
fzlqt
gaohong
gbj
gcy
ghp
gj
gkfxyy1
gkfxyy2
guanqiuyan
guojiujiang
guoshuai
guyuzhong
guzhihao
gyj
hejie
hett
hrintern
hsj
htx
huangjingxi
huangxin
hujian
huyongmei
hxk
hxpzx
hyj
jiangaofan
jiangxuemei
jilin
jjcw
jjgl
jjxd
jjzbcg
jjzbcw
jwm
jyw
kanglili
kedehong
kly
kr
lf
lfy
lh
lhy
liaoqinlin
lifei
lifeng
lij
liji
lijia
liling
limin
liuchunyan
liufang
liuqing
liuxn
liuzhaoying
lixin
lizhi
lmy
lujiong
lulj
luoqiangli
luquan
lxf
lyw
lz
lzl
minjie
nichuanhong
nihuimin
nj
nmj
npt
panwenyi
pcd
pgl
publication
qqz
queyujing
qxg
ryh
scx
sh
shenbinbin
shend
shenjie
shenli
shenxiaochi
shenzhibin
shiqiang
shizhan
sj
slj
smkx
songbin
songkai
sunlili
swd
sxgs
sygs
taoyonghong
tcgs
tsh
wangcy
wangerli
wangf
wangg
wangjiayan
wangling
wangwei
wangy
wgq
wlf
wnw
wp
wsn
wuheping
wuhong
wujin
wujinhua
wxz
wyb
wyf
wyz
xhf
xiaol
xiarunqiu
xinchaoben
xinyu
xjf
xrx
xujialin
xum
xurong
xuzengyi
yangrong
yangyaling
yangyl
yd
ydq
ydx
yeqian
ygl
yjb
yjj
yly
yqhczx
yuanlinghui
yzl
zc
zcf
zcj
zd
zfy
zhangcheng
zhangdongmei
zhangguorong
zhanghairong
zhanghong
zhangjp
zhangl
zhanglu
zhangnan
zhangwen
zhangxiaoli
zhangxueqi
zhangye
zhangyi
zhangzhigang
zhaoli
zhaona
zhengkaijun
zhongxiaoxiong
zhoujianwen
zhucaifang
zhuchuanming
zhuliqiang
zhuqian
zhuwenjia
zhuwenjun
zhuwenqian
zjx
zuochun
zwh
zyb
zyj
zyq
zzw

漏洞证明：

并且登录的地方没有验证码，可以爆破
登录证明

修复方案：

改密

版权声明：转载请注明来源 %7F路人甲%7F@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-12-11 15:02

厂商回复：

已经修复中

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0158632

漏洞标题：国药集团某处配置不当导致大量内部信息泄露

相关厂商：国药集团

漏洞作者： %7F路人甲%7F

提交时间：2015-12-07 12:13

修复时间：2016-01-23 15:16

公开时间：2016-01-23 15:16

漏洞类型：后台弱口令

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 %7F路人甲%7F@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0158632

漏洞标题：国药集团某处配置不当导致大量内部信息泄露

相关厂商：国药集团

漏洞作者： %7F路人甲%7F

提交时间：2015-12-07 12:13

修复时间：2016-01-23 15:16

公开时间：2016-01-23 15:16

漏洞类型：后台弱口令

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0158632"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 %7F路人甲%7F@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：