当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0152422

漏洞标题:浙江安邦护卫有限公司(带枪保护运钞车)某系统越权访问session+弱口令导致全公司通讯录泄露(董事长私人联系方式泄露)

相关厂商:浙江安邦护卫有限公司

漏洞作者: 路人甲

提交时间:2015-11-06 21:06

修复时间:2015-12-21 21:08

公开时间:2015-12-21 21:08

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

安邦护卫董事长是....浙江省公安厅政治部警务处长
浙江杭州安邦护卫有限公司于2006年8月1日注册成立,是根据公安部、浙江省政法委、公安厅的相关规定,为努力打造“平安浙江”而在全省成立的第一家专业化的武装押运公司。 公司由杭州市保安服务总公司、浙江安邦护卫有限公司、各区、县(市)保安公司共同出资组成,是高标准、高质量、上规模的专业押运公司,注册资金1000万元人民币。
<img src="/upload/201511/061947038bca13fe8485f80e63ffa3b1e20c9c1a.png" alt="QQ截图20151106193420.png" />

详细说明:

QQ截图20151106193420.png


http://www.anbanghuwei.com:8000/seeyon/index.jsp
弱口令

lijie
wangyong
zhanglei
liming	
liyong
wangjuan
zhangjun
wangfei
yangyong
chenmin
zhangbo
zhangming
yangjun
zhangjun
zhangqian
chenliang
yangyan
chenhui
zhanglei
zhoumin
lijie
chenbin
zhangbo
zhoujie
zhangfan
xuwei
zhoujing
xujing
yangyan


密码都是123456
随便找一个试试
lijie 123456

QQ截图20151106165546.png


QQ截图20151106165315.png


通讯录可以直接导出
吴高峻 浙江省公安厅政治部警务处长

QQ截图20151106165315.png


看到这个录入表就吓尿。。。
手枪登记

QQ图片20151106165834.png


越权访问
session可以随意登录用
还暴露了绝对路径
http://www.anbanghuwei.com:8000/seeyon/logs/ctp.log

QQ截图20151106164932.png

漏洞证明:

QQ截图20151106193420.png


http://www.anbanghuwei.com:8000/seeyon/index.jsp
弱口令

lijie
wangyong
zhanglei
liming	
liyong
wangjuan
zhangjun
wangfei
yangyong
chenmin
zhangbo
zhangming
yangjun
zhangjun
zhangqian
chenliang
yangyan
chenhui
zhanglei
zhoumin
lijie
chenbin
zhangbo
zhoujie
zhangfan
xuwei
zhoujing
xujing
yangyan


密码都是123456
随便找一个试试
lijie 123456

QQ截图20151106165546.png


QQ截图20151106165315.png


通讯录可以直接导出
吴高峻 浙江省公安厅政治部警务处长

QQ截图20151106165315.png


看到这个录入表就吓尿。。。
手枪登记

QQ图片20151106165834.png


越权访问
session可以随意登录用
还暴露了绝对路径
http://www.anbanghuwei.com:8000/seeyon/logs/ctp.log

QQ截图20151106164932.png

修复方案:

你懂的

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝