当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093710

漏洞标题:由某水利厅敏感信息泄露引发的思考

相关厂商:安徽省水利厅

漏洞作者: Vig0r

提交时间:2015-01-26 12:42

修复时间:2015-03-12 12:44

公开时间:2015-03-12 12:44

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-26: 细节已通知厂商并且等待厂商处理中
2015-01-29: 厂商已经确认,细节仅向厂商公开
2015-02-08: 细节向核心白帽子及相关领域专家公开
2015-02-18: 细节向普通白帽子公开
2015-02-28: 细节向实习白帽子公开
2015-03-12: 细节向公众公开

简要描述:

RT

详细说明:

通过百度搜索关键词“密码”,可登陆水利部地方水利年报系统。由于安全意识薄弱均未修改初始密码,通过系统查看安徽全省水利系统2004-2012年(老系统)、2013年(新系统密码123456)财务报告。通过报告了解全省水利行业基本情况、收入支出情况、水利工程管理单位收支情况、政府性基金及收费收支情况等敏感信息
思考:
如果1262100代表一个地区编码 初始密码123456 那么就可用burp爆破
看了一下新系统的地址:http://115.28.222.71/Login.htm 服务已部署在了阿里云上
爆破会被拦截,既然系统这么重要需要部署在阿里云,那么用户名、密码就不要随意放置

漏洞证明:

site:ahsl.gov.cn inurl:xls 密码


1.png


居然有账号密码 下载下来看看

QQ截图20150124131854.png


说明很是详细:

2.png


打开网站:

3.png


老系统:

4.png


  利用安徽省水利厅本级账号密码登陆 1262100 124322

QQ截图20150124131516.png


各种信息

QQ截图20150124131616.png


QQ截图20150124131654.png


再看看新系统:

QQ截图20150124132319.png


安徽省水利厅本级账号密码登陆 1262100 124322 提示密码错误

5.png

莫非修改了 其实不然 继续百度

6.png

居然有人告诉 偷笑
又进来了

QQ截图20150124145914.png


思考:
如果1262100代表一个地区编码 初始密码123456 那么就可用burp爆破
看了一下新系统的地址:http://115.28.222.71/Login.htm 服务已部署在了阿里云上
爆破会被拦截,既然系统这么重要需要部署在阿里云,那么用户名、密码就不要随意放置

修复方案:

屏蔽

版权声明:转载请注明来源 Vig0r@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-01-29 14:19

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向水利部通报。

最新状态:

暂无