高校安全之VPN弱口令（一） | wooyun-2015-0149524| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0149524

漏洞标题：高校安全之VPN弱口令（一）

漏洞作者：浪子

提交时间：2015-10-26 17:42

修复时间：2015-10-31 17:44

公开时间：2015-10-31 17:44

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(公安部一所)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-10-26：细节已通知厂商并且等待厂商处理中
2015-10-31：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

现在的企业公司、学校等机构的服务器大都处于内网之中。因此，进入内网是关键。那么VPN弱口令便是突破点之一

详细说明：

mask 区域

*****^^或者破坏任何数据，^*****
1.://**.**.**//**.**.**.**/_
*****^下^*****
*****d380ae90.jpg" alt="6C91*****
*****^突^*****
*****------vpn*****
*****eb59960d.jpg" alt="64F2*****
*****^令^*****
*****^^针对单账号^*****
*****^^工号^*****
*****名密码相同2*****
*****^^登录还^*****
*****3ddbf55f.jpg" alt="1290*****
*****进入^*****
*****80端*****
*****e71ce1f2.jpg" alt="D189*****

漏洞证明：

mask 区域

*****^^*****
*****由于测试时正在*****
*****0，8080弱口*****
*****^弱口令，提权，得到管*****
*****乎全^*****
*****ode*****
*****    administ*****
*****ux      ro*****
*****    administ*****
*****  administrat*****
*****x      roo*****
*****   administr*****
*****   administr*****
*****x      roo*****
*****   administr*****
*****x      roo*****
*****   administr*****
***** administrato*****
*****   administr*****
*****   administr*****
*****   administr*****
*****   administr*****
*****    administ*****
*****   administr*****
*****s    admini*****
*****    administ*****
*****    administ*****
*****    administ*****
*****    administ*****
*****    administ*****
*****    administ*****
*****    administ*****
*****    administ*****
*****    administ*****
*****    administ*****
**********
**********
**********
**********
**********
**********
*****^^——————————————————————————^*****
**********
**********
**********
***** administrat*****
*****  administr*****
*****  administr*****
*****  administr*****
*****  administr*****
*****  administr*****
**********
**********
*****-------------*****
*****  administra*****
*****  administra*****
*****   administ*****
*****   administ*****
*****       ro*****
*****   administ*****
***** administrat*****
***** administrat*****
***** administrat*****
***** administrat*****
***** administrat*****
***** administrat*****
***** administrat*****
*****  administra*****
*****  administr*****
***** administrat*****
*****  administr*****
***** administrat*****
*****  administra*****
*****  administr*****
***** administrat*****
*****  administr*****
*****  administr*****
*****  administr*****
***** administrat*****
**********
*****ode&*****
**********
*****^以拿下的^*****
*****^并没有搞破坏^*****
**********
*****^^打^*****

修复方案：

1，vpn可加强验证机制，
2，服务器管理员排查弱口令。
3，密码尽量不要同一个

版权声明：转载请注明来源浪子@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-10-31 17:44

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0149524

漏洞标题：高校安全之VPN弱口令（一）

相关厂商：某大学

漏洞作者：浪子

提交时间：2015-10-26 17:42

修复时间：2015-10-31 17:44

公开时间：2015-10-31 17:44

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(公安部一所)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源浪子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0149524

漏洞标题：高校安全之VPN弱口令（一）

相关厂商：某大学

漏洞作者： 浪子

提交时间：2015-10-26 17:42

修复时间：2015-10-31 17:44

公开时间：2015-10-31 17:44

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(公安部一所)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0149524"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 浪子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：浪子

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源浪子@乌云