漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-036832
漏洞标题:宜搜网漏洞礼包(弱口令、SVN信息x泄露等)
相关厂商:easou.com
漏洞作者: Coody
提交时间:2013-09-12 13:43
修复时间:2013-10-27 13:43
公开时间:2013-10-27 13:43
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-09-12: 细节已通知厂商并且等待厂商处理中
2013-09-12: 厂商已经确认,细节仅向厂商公开
2013-09-22: 细节向核心白帽子及相关领域专家公开
2013-10-02: 细节向普通白帽子公开
2013-10-12: 细节向实习白帽子公开
2013-10-27: 细节向公众公开
简要描述:
1、20rank ?
2、不能是小厂商流程了吧?
3、我实在是懒得继续了。。。
详细说明:
可以看到很多 xls & xml 文件
xls文件:包含很多【所属部门、机房、机柜、设备位、资产编号、主机名、主IP、外网IP、内网IP……】等的内容(此处就不截图了)。
xml文件:泄露很多内部员工 Email 信息(文件过大,烂笔记本卡爆了)。
下载几个xls看了下,结果如下:
1.http://118.145.13.12/ SmokePing网络监测平台
2.http://120.197.95.240:8080/ 宜搜用户管理后台
弱口令:admin/123456
命令执行:
3.http://120.197.95.104/ OP运维平台
svn 信息泄露:
列目录:
数据库备份文件泄露(虽然日期是2012年的):
成功登录运维平台(lee/123qwe):
好吧,先就这样吧。。。。
漏洞证明:
见【详细说明】
修复方案:
求个礼物O(∩_∩)O~
版权声明:转载请注明来源 Coody@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2013-09-12 14:37
厂商回复:
非常感谢您的提醒,我们会尽快修复。
最新状态:
暂无