社工撞库进入中国时刻网社区管理系统

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-047387

漏洞标题：社工撞库进入中国时刻网社区管理系统

漏洞作者：葫芦岛小弱智

提交时间：2013-12-30 11:52

修复时间：2014-03-30 11:53

公开时间：2014-03-30 11:53

漏洞类型：

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-12-30：积极联系厂商并且等待厂商认领中，细节不对外公开
2014-03-30：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

通过社工撞库获得中国时刻网某管理员的其他网站的密码>尝试发现可以登陆时刻网社区账号>并且无安全提问登陆到管理中心系统>Discuz! X2.5

详细说明：

1、通过http://i.s1979.com/home.php?mod=space&uid=2&do=profile获得uid为2的管理员用户名qinrl；
2、撞库获得其网络轨迹以及历史密码,并且可以登陆其空间以及后台管理中心；
3、出于安全考量，不再继续下去；

漏洞证明：

#pic1 获取管理员用户id

#pic2 登陆管理员空间首页以及用户名密码<出于对管理员安全考虑，在这里做马赛克处理>

#pic3 登陆管理员后台页面1

#pic4 登陆管理员后台页面2

修复方案：

#修改管理员登陆密码
#控制权限
#加强运维人员安全意识(如密码使用习惯)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-047387

漏洞标题：社工撞库进入中国时刻网社区管理系统

相关厂商：www.s1979.com

漏洞作者：葫芦岛小弱智

提交时间：2013-12-30 11:52

修复时间：2014-03-30 11:53

公开时间：2014-03-30 11:53

漏洞类型：

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源葫芦岛小弱智@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-047387

漏洞标题：社工撞库进入中国时刻网社区管理系统

相关厂商：www.s1979.com

漏洞作者： 葫芦岛小弱智

提交时间：2013-12-30 11:52

修复时间：2014-03-30 11:53

公开时间：2014-03-30 11:53

漏洞类型：

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-047387"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 葫芦岛小弱智@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：葫芦岛小弱智

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源葫芦岛小弱智@乌云