当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-059875

漏洞标题:好孩子育儿网某及其重要后台弱口令(公司内部安全受到极大威胁)

相关厂商:好孩子育儿网

漏洞作者: hkAssassin

提交时间:2014-05-08 11:09

修复时间:2014-06-22 11:10

公开时间:2014-06-22 11:10

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-08: 细节已通知厂商并且等待厂商处理中
2014-05-08: 厂商已经确认,细节仅向厂商公开
2014-05-18: 细节向核心白帽子及相关领域专家公开
2014-05-28: 细节向普通白帽子公开
2014-06-07: 细节向实习白帽子公开
2014-06-22: 细节向公众公开

简要描述:

好孩子育儿网某及其重要后台弱口令(可查看整个公司组织架构,所有公司员工信息,考勤信息,可控制公司内部分硬件设备)。

详细说明:

http://kaoqin.gb246.com admin admin


1.jpg

2.jpg

3.jpg


以上是公司组织架构信息


4.jpg


上面的截图可证明能够控制公司的考勤机……


5.jpg


以上可证明能查看公司所有员工信息,包括离职人员的……


6.jpg


以上可证明能查看员工考勤信息,包括详细的考勤信息等。ps:你们猜这是谁的!我不会说这是董事长的……嘘!!!^_^


7.jpg


再看一个,你们猜这个是谁的。猜对了有奖!我想说作为一名秘书妹子5月份刚过去8天你就旷工1次,迟到8分钟。哈哈^_^这个月的全勤奖没了!妹子以后要努力啊!


8.jpg


以上可以证明对此系统可做修改,包括配置修改,权限修改等等。因为这个系统个人觉得实在太重要所以就不尝试拿shell了。怕破坏你们的数据……

漏洞证明:

http://kaoqin.gb246.com admin admin


1.jpg

2.jpg

3.jpg


以上是公司组织架构信息


4.jpg


上面的截图可证明能够控制公司的考勤机……


5.jpg


以上可证明能查看公司所有员工信息,包括离职人员的……


6.jpg


以上可证明能查看员工考勤信息,包括详细的考勤信息等。ps:你们猜这是谁的!我不会说这是董事长的……嘘!!!^_^


7.jpg


再看一个,你们猜这个是谁的。猜对了有奖!我想说作为一名秘书妹子5月份刚过去8天你就旷工1次,迟到8分钟。哈哈^_^这个月的全勤奖没了!妹子以后要努力啊!


8.jpg


以上可以证明对此系统可做修改,包括配置修改,权限修改等等。因为这个系统个人觉得实在太重要所以就不尝试拿shell了。怕破坏你们的数据……

修复方案:

修复你们懂!!弱口令是全球硬伤啊……
ps:一个弱口令个人觉得不值20rank,可是此系统个人觉得实在太重要,里面的数据信息以及危害性不言而喻所以自评rank20。亲你怎么看。
为了厂商数据的安全性,上面的关键信息都打码了……
顺便提下有礼物没……

版权声明:转载请注明来源 hkAssassin@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-05-08 12:12

厂商回复:

感谢提出问题

最新状态:

暂无