WooYun.org

问题是这样的：
今天人资的mm找我说可以办理北京工作居住证了（听说相当于绿卡）。办理了之后可以买房买车，于是我就毫不犹豫的办了。人资的mm给了我一个系统，第二天发给我登陆的用户名和密码，我一看登陆名是我的工号，密码是弱口令（6位的）。于是我就进去在里面填写了各种资料，基本上算是吧自己全部出卖给了这个系统。然后我第一时间想到的就是先把密码修改一下，结果发现扯淡的系统在好多浏览器都显示不能修改密码，最后发现只能在ie9一下的系统及部分google浏览器做修改和信息浏览。
接着我看了看这个系统，发现了两个越权前面已经提交过了。加上没有这个系统没有验证码。然后还有就是如果你输入的用户名不合适他会提示你用户名不合适，输入的密码不合适会提示你密码不合适。所以我就想到了暴力破解。
因为这个系统的初始密码都是人资来设定的，所以我猜测一个企业里人资给所有人设定的密码都是一样的，而且极其有可能是弱口令。带着这个想法我开始了暴力破解，经过随机爆破20000个账号用了两组极其弱的弱口令。结果顺利爆破出13个账号，其中有一个是企业账号，这个账号最后从侧面证明了，我的猜测，就是人资在写初始密码的时候基本上会选择复制粘贴，复制粘贴。所以基本同一个企业的密码都是一样的，那么登陆名就是该企业的工号，工号一般就为纯数字。
下面是我弄出来的账号。账号随机生成的，密码就是111111和123456
关于这个漏洞更多的危害，我已经无力吐槽，各位大牛你们自己想吧！