当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0137014

漏洞标题:中国石化某系统弱口令弱口令,涉及全部员工账号、大量服务、数据库

相关厂商:中国石油化工股份有限公司

漏洞作者: 路人甲

提交时间:2015-08-26 09:35

修复时间:2015-10-10 16:36

公开时间:2015-10-10 16:36

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-26: 细节已通知厂商并且等待厂商处理中
2015-08-26: 厂商已经确认,细节仅向厂商公开
2015-09-05: 细节向核心白帽子及相关领域专家公开
2015-09-15: 细节向普通白帽子公开
2015-09-25: 细节向实习白帽子公开
2015-10-10: 细节向公众公开

简要描述:

这回可真是某系统了,具体是什么系统我也看不明白。
庞大的系统,可以任意启动停止修改设置:身份认证服务、全文检索服务、升级服务、文件传输、即时通讯、安卓手机推送、报表服务、邮件服务、电子签名服务、实施服务、OLAP服务器。
通过强大的“审核元素”技术,可以获取各服务的数据库配置,数据库开启了外网连接,连上发现庞大的数据表(512个?)。
其他的表没看,用户表有2300来个员工账号(电话、邮箱、姓名、办公室电话等等),登陆系统后通过一堆复杂的组织机构才发现是属于中石化的系统。

详细说明:

控制台地址:

http://123.129.51.44:8880/


弱口令:

admin


漏洞证明:

庞大的系统,可以任意启动停止修改设置:身份认证服务、全文检索服务、升级服务、文件传输、即时通讯、安卓手机推送、报表服务、邮件服务、电子签名服务、实施服务、OLAP服务器。

QQ截图20150826090921.png


QQ截图20150826090949.png


QQ截图20150826091016.png


QQ截图20150826091031.png


通过强大的“审核元素”技术,可以获取各服务的数据库配置邮箱、认证、工作流等等数据库:

QQ截图20150826091048.png


数据库开启了外网连接,连上发现庞大的数据表(512个?)

QQ截图20150826091128.png


其他的表没看,用户表有2300来个员工账号(电话、邮箱、姓名、办公室电话等等),密码都是123456。。。

QQ截图20150826091149.png


登陆系统后通过一堆复杂的组织机构才发现是属于中石化的系统。

http://123.129.51.44:8888/


QQ截图20150826091215.png

修复方案:

修改弱口令,妥善管理密码

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-08-26 16:35

厂商回复:

谢谢,我们将尽快修改

最新状态:

暂无