漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-043079
漏洞标题:如家#第2弹:组合技能拿下如家CEO等高管员工个人联系方式
相关厂商:如家酒店集团
漏洞作者: X防部
提交时间:2013-11-16 17:02
修复时间:2013-12-31 17:03
公开时间:2013-12-31 17:03
漏洞类型:重要敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-11-16: 细节已通知厂商并且等待厂商处理中
2013-11-16: 厂商已经确认,细节仅向厂商公开
2013-11-26: 细节向核心白帽子及相关领域专家公开
2013-12-06: 细节向普通白帽子公开
2013-12-16: 细节向实习白帽子公开
2013-12-31: 细节向公众公开
简要描述:
如家#第2弹:组合技能拿下如家CEO等高管,普通员工个人联系方式。。。
组合技能拿下如家所有员工人个人联系方式(当然包括ceo cfo ufo。。。)
我说,你要是在不给我发礼物我就给你们老板打电话!
淫荡的拿下了如家CEO的手机号码.....
重复一边20rank+礼物缺一不可!!!
详细说明:
如家员工信息网存在越权下载多处:
http://office.homeinns.com/staffinfo/files/如家酒店集团通讯录%207.17.xlsx
http://office.homeinns.com/staffinfo/files/%E6%9C%80%E6%96%B0%E5%85%AC%E5%8F%B8%E9%80%9A%E8%AE%AF%E5%BD%95.csv
。。。。
搞到所有员工名单 当然高管就是高管 单独放到一个栏目里....
这个是集团总部名单(CEO是孙坚?):
这个是外围店铺店长 店员名单:
当然这是远远不够的,虽然我们拿下了总部每个员工的分机电话,但是这不是个人手机号码!
所以继续:
目标:如家ceo孙坚的个人手机号码!
继续撸:http://office.homeinns.com/staffinfo/
发现存在弱口令,账号:admin 密码:admin888
登陆:http://office.homeinns.com/staffinfo/contact.aspx
成功获得CEO手机号码!哈哈
由刚才的名单我们可以获得如家所有高管员工邮箱 公司分机 个人手机号码!
漏洞证明:
null
修复方案:
null
版权声明:转载请注明来源 X防部@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-11-16 22:13
厂商回复:
感谢关注,已转相关人员处理。
最新状态:
暂无