当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157762

漏洞标题:中粮集团有限公司多个系统漏洞打包(弱口令/XSS)

相关厂商:中粮集团有限公司

漏洞作者: Ysql404

提交时间:2015-12-03 10:44

修复时间:2016-01-17 14:04

公开时间:2016-01-17 14:04

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-03: 细节已通知厂商并且等待厂商处理中
2015-12-03: 厂商已经确认,细节仅向厂商公开
2015-12-13: 细节向核心白帽子及相关领域专家公开
2015-12-23: 细节向普通白帽子公开
2016-01-02: 细节向实习白帽子公开
2016-01-17: 细节向公众公开

简要描述:

涉及多个系统,可否走大厂商呢:)

详细说明:

01 中粮屯河股份有限公司 企微云平台—微信企业号免费应用管理平台弱口令
泄漏中粮屯河所有员工联系方式、邮箱、手机号、微信号等,使用手机登录可发微信、打电话
密码都为123456

5939	chenchao	200	false	false	455	
6088	chenmo	        200	false	false	455	
38635	peiling	        200	false	false	455	
59087	yangxi	        200	false	false	455


QQ图片20151202183223.jpg


泄漏所有员工信息

QQ图片20151202183310.png


QQ图片20151202183417.png


存储型XSS注入,存在XSS注入的地方较多请自行排查;

QQ图片20151202183619.jpg


其他功能

QQ图片20151202201126.png


QQ图片20151202201215.jpg


可以上传jsp文件,但无法执行,可惜了:)
02 http://fax.cofcotunhe.com/ 中粮屯河传真服务器弱口令,密码都为123456

6	zhangmin	302	false	false	610	
8	wangjing	302	false	false	610	
11	zhangli	302	false	false	609	
7	lijing	302	false	false	608	
13	wangli	302	false	false	608	
4	liwei	302	false	false	607	
5	lina	302	false	false	606


QQ图片20151202201706.png


QQ图片20151202201738.jpg


QQ图片20151202201818.jpg

漏洞证明:

03 中粮屯河网络学院弱口令,用户名、密码都为姓名拼写

45	zhangqiang	200	false	false	641	
120	zhangying	200	false	false	641	
131	liuchao	        200	false	false	641	
153	zhangxu	        200	false	false	641	
451	zhaojun  	200	false	false	641	
9	liuwei	        200	false	false	571	
14	zhangjing	200	false	false	571	
59	liguiying	200	false	false	571	
192	chengang	200	false	false	571


QQ图片20151202202308.png


QQ图片20151202202428.jpg


QQ图片20151202202456.jpg


QQ图片20151202202533.jpg


QQ图片20151202202644.jpg

修复方案:

你们更专业,求走大厂商:)

版权声明:转载请注明来源 Ysql404@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-12-03 14:03

厂商回复:

非常感谢,马上整改!

最新状态:

暂无