漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-068712
漏洞标题:400电话隐私泄漏之二涉及不健康录音(泄漏拨打与接听具体号码)
相关厂商:400电话
漏洞作者: 兜兜揣肉包
提交时间:2014-07-16 12:49
修复时间:2014-08-30 12:50
公开时间:2014-08-30 12:50
漏洞类型:重要敏感信息泄露
危害等级:中
自评Rank:8
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-07-16: 细节已通知厂商并且等待厂商处理中
2014-07-20: 厂商已经确认,细节仅向厂商公开
2014-07-30: 细节向核心白帽子及相关领域专家公开
2014-08-09: 细节向普通白帽子公开
2014-08-19: 细节向实习白帽子公开
2014-08-30: 细节向公众公开
简要描述:
我都不想说了
详细说明:
1、开了1433端口,而且我也告诉你了.结果你们不修改.只是修改了http://vip.400cti.com.cn/登录页面管理员的密码.请问这个有用吗?
服务器:vip.400cti.com.cn
数据库管理员:400v3
数据库密码:ju******ku
请问这种情况下你修改admin管理员密码有用吗?反正我是发现了你们除了修改admin密码外什么也没做.而且修改的速度特慢.
管理员密码,谁有钱自己去买去:
2、企业信息泄漏
3、照样进系统.
无论是update更新密码,再还原.还是用其他帐号都可以进系统
通过另一个管理员进了系统
帐号:guanliyuan 密码:20*****0
4、电话录音还是没有屏蔽掉;地址 http://119.7.**.***:9090/monitor/
录音从2013-12-01开始至今,一只在继续.目测现在至少有上千万条电话录音.都是隐私!!!
5、下面是最劲爆的经网友发现线索.我进行深挖.先发现有人通过400电话进行卖淫嫖娼活动,希望贵公司进行查处.
录音贴出来两个
http://119.7.**.***:9090/monitor/%5b2014-7-08%5d/015121045028-018182323298-1404765410.8436-043650.wav
http://119.7.**.***:9090/monitor/[2014-7-07]/015121045028-015595397889-1404745379.8285-230259.wav
(都在问小姐漂亮吗?有学生妹,少妇~~~~等等)
6、曝光嫖娼企业
经过我的深度发觉,找到了这个挂羊头卖狗肉的企业.当然到底是不是还要你们自己甄别
企业信息
嫖娼电话录音记录:
大家注意到了,记录总数:1422 时间都集中在凌晨4~5点钟
漏洞证明:
请问贵公司是在放纵嫖娼吗?
修复方案:
换个网管或许更好
版权声明:转载请注明来源 兜兜揣肉包@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:14
确认时间:2014-07-20 22:28
厂商回复:
最新状态:
暂无