乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2016-01-02: 细节已通知厂商并且等待厂商处理中 2016-01-04: 厂商已经确认,细节仅向厂商公开 2016-01-14: 细节向核心白帽子及相关领域专家公开 2016-01-24: 细节向普通白帽子公开 2016-02-03: 细节向实习白帽子公开 2016-02-12: 细节向公众公开
很多敏感信息
http://113.106.86.133:800/login/Login.jsp?logintype=1
使用了泛微办公系统
http://113.106.86.133:800//messager/users.data
base64解码以后,得到将近700条内部员工邮箱。贴出部分邮箱帐号
mask 区域 *****ytzq**********@ytz**********ytzq**********tzq**********tzq**********tzq**********ytzq**********zq.n**********tzq.**********tzq.**********ytzq**********ytzq**********zq.n**********tzq.**********zq.c**********tzq.**********ytzq**********tzq**********tzq**********zq.c**********tzq.**********tzq.**********@ytz**********tzq.**********ytzq**********ytzq**********tzq.**********zq.c**********ytzq**********@ytz**********tzq.**********tzq**********zq.n**********zq.n**********tzq.**********zq.n**********ytzq**********tzq**********zq.**********zq.n**********an@ytz**********@ytz**********ytzq**********zq.n**********ytzq**********@ytz**********tzq.**********ytzq**********tzq.**********zq.c**********tzq.**********@ytz**********zq.c**********zq.c**********zq.**********tzq.**********tzq.**********tzq.**********ytzq**********tzq.**********ytzq.**********tzq**********zq.c**********zq.**********@ytz**********@ytz**********ytzq**********zq.n**********ytzq**********zq.c**********tzq.**********tzq.**********tzq.**********ytzq**********tzq.**********tzq**********@ytz**********tzq.**********zq.c**********tzq.**********tzq.**********tzq**********@ytz**********tzq.**********zq.c**********ytzq**********zq.n**********tzq.**********ytzq**********tzq.**********zq.c**********tzq**********tzq.**********@ytz**********tzq.**********@ytzq**********ytzq**********tzq.**********ytzq**********tzq**********tzq.**********@ytz**********@ytz**********tzq.**********tzq.**********tzq**********@ytzq**********tzq.**********tzq.**********ytzq**********ytzq**********tzq**********tzq.**********tzq.**********zq.c**********ytzq**********tzq.**********zq.n**********@ytz**********ytzq**********i@ytz**********@ytz**********tzq.**********@ytzq**********ytzq**********ytzq**********tzq.**********ytzq**********ytzq**********tzq.**********zq.c**********tzq.**********ytzq**********ytzq**********tzq.**********ytzq**********tzq**********ytzq**********zq.c**********tzq.**********zq.c**********zq.n**********zq.c**********ytzq.**********ytzq**********i@ytz*****
*****ytzq**********@ytz**********ytzq**********tzq**********tzq**********tzq**********ytzq**********zq.n**********tzq.**********tzq.**********ytzq**********ytzq**********zq.n**********tzq.**********zq.c**********tzq.**********ytzq**********tzq**********tzq**********zq.c**********tzq.**********tzq.**********@ytz**********tzq.**********ytzq**********ytzq**********tzq.**********zq.c**********ytzq**********@ytz**********tzq.**********tzq**********zq.n**********zq.n**********tzq.**********zq.n**********ytzq**********tzq**********zq.**********zq.n**********an@ytz**********@ytz**********ytzq**********zq.n**********ytzq**********@ytz**********tzq.**********ytzq**********tzq.**********zq.c**********tzq.**********@ytz**********zq.c**********zq.c**********zq.**********tzq.**********tzq.**********tzq.**********ytzq**********tzq.**********ytzq.**********tzq**********zq.c**********zq.**********@ytz**********@ytz**********ytzq**********zq.n**********ytzq**********zq.c**********tzq.**********tzq.**********tzq.**********ytzq**********tzq.**********tzq**********@ytz**********tzq.**********zq.c**********tzq.**********tzq.**********tzq**********@ytz**********tzq.**********zq.c**********ytzq**********zq.n**********tzq.**********ytzq**********tzq.**********zq.c**********tzq**********tzq.**********@ytz**********tzq.**********@ytzq**********ytzq**********tzq.**********ytzq**********tzq**********tzq.**********@ytz**********@ytz**********tzq.**********tzq.**********tzq**********@ytzq**********tzq.**********tzq.**********ytzq**********ytzq**********tzq**********tzq.**********tzq.**********zq.c**********ytzq**********tzq.**********zq.n**********@ytz**********ytzq**********i@ytz**********@ytz**********tzq.**********@ytzq**********ytzq**********ytzq**********tzq.**********ytzq**********ytzq**********tzq.**********zq.c**********tzq.**********ytzq**********ytzq**********tzq.**********ytzq**********tzq**********ytzq**********zq.c**********tzq.**********zq.c**********zq.n**********zq.c**********ytzq.**********ytzq**********i@ytz*****
通过登录提示,,确定用户名格式
然后就是爆破用户
内部敏感信息泄露
邮箱系统
危害等级:高
漏洞Rank:10
确认时间:2016-01-04 14:03
谢谢!
暂无