当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129422

漏洞标题:华润化工控股有限公司某处弱口令

相关厂商:华润化工控股有限公司

漏洞作者: 路人甲

提交时间:2015-07-27 19:13

修复时间:2015-09-13 14:08

公开时间:2015-09-13 14:08

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-27: 细节已通知厂商并且等待厂商处理中
2015-07-30: 厂商已经确认,细节仅向厂商公开
2015-08-09: 细节向核心白帽子及相关领域专家公开
2015-08-19: 细节向普通白帽子公开
2015-08-29: 细节向实习白帽子公开
2015-09-13: 细节向公众公开

简要描述:

弱口令

详细说明:

收集邮箱

mask 区域 
*****nho*****
*****nhu*****
*****jin*****
*****aof*****
*****eng*****
*****ong*****
*****pin*****
*****ian*****
*****n
*****
*****gro*****
*****aox*****
*****nmi*****
*****ngj*****
*****oy*****
*****ngq*****
*****hua*****
*****ang*****
*****any*****
*****anj*****
*****agu*****
*****ngm*****
*****ipi*****
*****ngy*****
*****gxi*****
*****hang*****
*****hen*****
*****ufe*****
*****inh*****
*****uy*****
*****inh*****
*****iao*****
*****ul*****
*****iya*****
*****ian*****
*****ian*****
*****uiw*****
*****ong*****
*****ong*****
*****qiw*****
*****daq*****
*****che*****
*****ngc*****
*****zix*****
*****zew*****
*****ng*****
*****yan*****
*****wei*****
*****qin*****
*****key*****
*****ngyu*****
*****uan*****
*****anj*****
*****oxia*****
*****ing*****
*****ian*****
*****ong*****
*****ain*****
*****zon*****
*****ngdo*****
*****yup*****
*****yuf*****
*****yif*****
*****xux*****
*****xue*****
*****xin*****
*****xia*****
*****aoch*****
*****ng*****
*****uzho*****
*****shu*****
*****she*****
*****qin*****
*****pen*****
*****luo*****
*****ngli*****
*****hai*****
*****angz*****
*****angy*****
*****dan*****
*****che*****
*****anr*****
*****ong*****
*****nshe*****
*****uzh*****
*****api*****
*****gqia*****
*****an*****
*****w*****
*****nn*****
*****ian*****
*****gli*****
*****lia*****
*****nda*****
*****ong*****
*****nmi*****
*****igu*****
*****hon*****
*****o
*****
*****hen*****
*****enb*****
*****uan*****
*****unw*****
*****ru*****
*****nha*****
*****ibi*****
*****izh*****
*****unf*****
*****fe*****
*****bo*****
*****ho*****
*****ei*****
*****nfe*****
*****bei*****
*****gge*****
*****ime*****
*****uti*****
*****ong*****
*****ga*****
*****ngy*****
*****ta*****
*****ji*****
*****ngh*****
*****hou*****
*****gy*****
*****ioj*****
*****iao*****
*****gq*****
*****ing*****
*****ing*****
*****eng*****
*****gj*****
*****ong*****
*****uib*****
*****eng*****
*****uz*****
*****un*****
*****ing*****
*****wen*****
*****aj*****
*****ang*****
*****omi*****
*****odo*****
*****yan*****
*****ao*****
*****zhi*****
*****hua*****
*****fan*****
*****in*****
*****in*****
*****ei*****
*****un*****
*****an*****
*****yua*****
*****ia*****
*****ui*****
*****ong*****
*****en*****
*****ehu*****
*****le*****
*****ke*****
*****ngy*****
*****ngy*****
*****anc*****
*****ho*****
*****obi*****
*****ngq*****
*****in*****
*****in*****
*****ibo*****
*****ngx*****
*****nqi*****
*****jua*****
*****nwe*****
*****ngw*****
*****oxi*****
*****bo*****
*****an*****
*****o
*****
*****yu*****
*****we*****
*****ong*****
*****ong*****
*****ing*****
*****ha*****
*****jia*****
*****hon*****
*****ing*****
*****don*****
*****olo*****
*****ofe*****
*****yan*****
*****fen*****
*****gye*****
*****ia*****
*****gbo*****
*****ih*****
*****eng*****
*****xin*****
*****nli*****
*****gl*****
*****am-*****
*****la*****
*****ewe*****
*****eij*****
*****yt*****
*****nwe*****
*****oqi*****
*****ji*****
*****wen*****
*****ngch*****
*****hig*****
*****ong*****
*****ong*****
*****ong*****
*****ing*****
*****ueh*****
*****iao*****
*****iao*****
*****iao*****
*****ian*****
*****enw*****
*****enq*****
*****gw*****
*****ei0*****
*****hao*****
*****hao*****
*****ain*****
*****onr*****
*****unf*****
*****gq*****
*****eng*****
*****inx*****
*****ing*****
*****ing*****
*****iju*****
*****ian*****
*****unl*****
*****gj*****
*****iaq*****
*****gh*****
*****ual*****
*****ece*****
*****aio*****
*****aos*****
*****ong*****
*****afu*****
*****hen*****
*****gb*****
*****nha*****
*****ixi*****
*****i*****
*****s*****
*****aix*****
*****f
*****
*****han*****
*****ny*****
*****eiy*****
*****ong*****
*****ye*****
*****jun*****
*****ngl*****
*****ame*****
*****oxi*****
*****hij*****
*****hou*****
*****iqu*****
*****uan*****
*****gj*****
*****ngm*****
*****yu*****
*****ya*****
*****ngz*****
*****nwe*****
*****ife*****
*****mi*****
*****ha*****
*****bi*****
*****enb*****
*****han*****
*****hun*****
*****on*****
*****aw*****
*****li*****
*****ent*****
*****pin*****
*****ang*****
*****nh*****
*****aif*****
*****uog*****
*****yha*****
*****yi*****
*****ing*****
*****ili*****
*****nx*****
*****engw*****
*****anl*****
*****l
*****
*****ina*****
*****aof*****
*****shi*****
*****hen*****
*****nwe*****
*****ngl*****
*****ngl*****
*****unk*****
*****enc*****
*****upi*****
*****she*****
*****ngs*****
*****fe*****
*****ume*****
*****ny*****
*****ozho*****
*****iao*****
*****ing*****
*****efe*****
*****gw*****
*****uih*****
*****aod*****
*****gb*****
*****lin*****
*****nan*****
*****aof*****
*****umi*****
*****ngh*****
*****ngc*****
*****gli*****
*****lin*****
*****pen*****
*****qua*****
*****hij*****
*****gy*****
*****enq*****
*****hiq*****
*****ong*****
*****hon*****
*****ghu*****
*****in*****
*****jie*****
*****iju*****
*****xi*****
*****ang*****
*****dy*****
*****in*****
*****nya*****
*****in*****
*****zhe*****
*****eng*****
*****im*****
*****uj*****
*****ia*****
*****xin*****
*****yon*****
*****fen*****
*****lin*****
*****in*****
*****ia*****
*****ei*****
*****ezh*****
*****ngj*****
*****ia*****
*****nfe*****
*****min*****
*****qin*****
*****ej*****
*****e
*****
*****ibi*****
*****eiy*****
*****iq*****
*****yon*****
*****aq*****
*****hon*****
*****an*****
*****an*****
*****u
*****
*****jua*****
*****iju*****
*****enh*****
*****anq*****
*****nga*****
*****aoq*****
*****nyu*****
*****mi*****
*****nsh*****
*****ke*****
*****anm*****
*****ji*****
*****hz*****
*****hu*****
*****ngw*****
*****ha*****
*****imu*****
*****oca*****
*****ch*****
*****bi*****
*****oqi*****
*****nyu*****
*****min*****
*****xu*****
*****pen*****
*****ngh*****
*****iho*****
*****oju*****
*****nch*****
*****ha*****
*****wen*****
*****oto*****
*****yin*****
*****un*****
*****ngl*****
*****jun*****
*****jia*****
*****bin*****
*****gya*****
*****us*****
*****en*****
*****gxu*****
*****ui*****
*****anf*****
*****oh*****
*****in*****
*****yuf*****
*****wei*****
*****anmi*****
*****jun*****
*****cui*****
*****ong*****
*****ar*****
*****iro*****
*****anf*****
*****ao*****
*****_ya*****
*****eng*****
*****e
*****
*****ccm*****
*****ife*****
*****li*****
*****jie*****
*****ium*****
*****ac*****
*****on*****
*****iji*****
*****ueg*****
*****yun*****
*****yon*****
*****aomi*****
*****sha*****
*****rui*****
*****qid*****
*****jun*****
*****jil*****
*****anfa*****
*****fei*****
*****anyu*****
*****ng*****
*****ali*****
*****e-y*****
*****ang*****
*****w*****
*****guo*****
*****obo*****
*****in*****
*****don*****
*****zho*****
*****an*****
*****an*****
*****yun*****
*****ngxi*****
*****xiu*****
*****xia*****
*****aoqi*****
*****aoqi*****
*****wei*****
*****qia*****
*****min*****
*****ng*****
*****lan*****
*****jun*****
*****jia*****
*****hai*****
*****ang*****
*****gy*****
*****iyi*****
*****j*****
*****ua*****
*****jun*****
*****me*****
*****ong*****
*****nqu*****
*****gme*****
*****ngl*****
*****an*****
*****ang*****
*****ngj*****
*****hen*****
*****do*****
*****y*****
*****xin*****
*****eli*****
*****xi*****
*****we*****
*****jun*****
*****ngf*****
*****hu*****
*****do*****
*****in*****
*****jie*****
*****yan*****
*****nlo*****
*****iao*****
*****nd*****
*****ij*****
*****q*****
*****ian*****
*****ian*****
*****ch*****
*****in*****
*****eng*****
*****ong*****
*****iyo*****
*****xia*****
*****nqi*****
*****zhu*****
*****yan*****
*****ji*****
*****ho*****
*****enj*****
*****uoz*****
*****aod*****
*****ang*****
*****ong*****
*****gm*****
*****iju*****
*****uil*****
*****ch*****
*****ai*****
*****ua*****
*****iro*****
*****uqi*****
*****ing*****
*****ing*****
*****hua*****
*****hao*****
*****ian*****
*****ian*****
*****gh*****
*****nba*****
*****hid*****
*****uan*****
*****ian*****
*****hun*****
*****ang*****
*****gyo*****
*****won*****
*****sin*****
*****id*****
*****chi*****
*****unp*****
*****iao*****
*****uhu*****
*****ngx*****
*****oli*****
*****y555*****
*****npi*****
*****hic*****
*****uru*****
*****unx*****
*****ny*****
*****ong*****
*****nx*****
*****iao*****
*****iao*****
*****iao*****
*****nx*****
*****eib*****
*****anx*****
*****nzhe*****
*****hao*****
*****han*****
*****uji*****
*****nq*****
*****iny*****
*****ing*****
*****nl*****
*****nj*****
*****ian*****
*****ong*****
*****uok*****
*****nai*****
*****hai*****
*****ing*****
*****ong*****
*****aot*****
*****uox*****
*****eng*****
*****iy*****
*****enj*****
*****yu*****
*****hui*****
*****han*****
*****zhu*****
*****ji*****
*****hu*****
*****yo*****
*****nxi*****
*****li*****
*****fan*****
*****in*****
*****in*****
*****ten*****
*****nlo*****
*****li*****
*****anq*****
*****mi*****
*****nf*****


mask 区域 
1.http://**.**.**/coremail/index.jsp


1.jpg


得到了密码要求,删除纯字母,数字或者少于8位的password
top100爆破
成功的

mask 区域 
*****an	12*****
*****1234q*****
*****g	qwe*****
*****bc123*****
*****	abc12*****
*****ng	abc*****
*****	abc1*****
*****abc12*****
*****abc1*****
*****	abc12*****
*****abc1*****
*****bc12*****
*****g	abc1*****
*****a	abc*****


2.jpg

3.jpg


1.jpg


其他就不证明了,有恨多隐私。。

漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-07-30 14:06

厂商回复:

感谢提交

最新状态:

暂无