惠州志愿者网站漏洞可导致数十万志愿者个人详细信息存在泄露风险

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-082941

漏洞标题：惠州志愿者网站漏洞可导致数十万志愿者个人详细信息存在泄露风险

漏洞作者：小龙

提交时间：2014-11-12 11:42

修复时间：2014-12-27 11:44

公开时间：2014-12-27 11:44

漏洞类型：系统/服务运维配置不当

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-11-12：细节已通知厂商并且等待厂商处理中
2014-11-14：厂商已经确认，细节仅向厂商公开
2014-11-24：细节向核心白帽子及相关领域专家公开
2014-12-04：细节向普通白帽子公开
2014-12-14：细节向实习白帽子公开
2014-12-27：细节向公众公开

简要描述：

志愿者：联合国将其定义为“不以利益、金钱、扬名为目的，而是为了近邻乃至世界进行贡献活动者”，指在不为任何物质报酬的情况下，能够主动承担社会责任并且奉献个人的时间及精神的人。

详细说明：

不过他们不属于任何人管，个人组织，今天是11月11日，为何不来邪恶一把呢，反正也不要钱o(∩_∩)o，前几天在公司来了一群志愿者，惠州志愿者。。黄色衣服，后面一个大LOGO- - 惠州志愿者下面加一排网站是:www.hzzyz.cn
下面有图
扫了c段，然后弄下一个志愿者服务网然后还误伤了惠州地税纳税宝网站，非常的无语

就这种衣服- -
这个漏洞结合了长辈“米特尼克的十大建议之一”

备份资料.记住你的系统永远不会是无懈可击的,灾难性的数据损失会发生在你身上——只需一条虫子或一只木马就已足够.

在扫目录的时候发现了

http://183.63.34.180:80/ReadMe.txt

这是一个说明文件
但是管理员没删除

项目名称：惠州西湖门户网站
项目英文名：BLPCR


mask 区域

*****：SQ*****
*****^^192.1*****
*****^：BL*****
*****：BL*****
*****18675*****









mask 区域

*****sadmin / SYS*****





SVN地址：http://server:8443/svn/BLPCR/BLPCRSQL
开发工具：VS2012
开发语言：C# MVC3.0
FrameWork版本：4.0.30319.1
其他：jQuery-1.7.1.min.js HTML5标准
COMMON.LIB --- 通用（公共）类
DAL.LIB --- 数据（正常情况下不要去动，生成Model会自动执行）
Models.LIB --- 数据实体结构
UI --- 视图页面 后台管理
Web --- 网站视图页面
SVN项目管理规则：
1、每次必须完整提交；
2、提交项目前先Update本地，排队冲突后整体提交项目，切勿单独提交新文件

好的，掌握了这些就登录把
url：http://183.63.34.180/LogOn?ReturnUrl=%2f

mask 区域

*****in  密*****

有人会说，sb洞主，有了号码你打过去也没用啊，浪费电话费
呵呵，错了，咱们可以拿去卖(ps：我没动数据哦，勿查。。) 黑产很需要的东西。。
第二就是咱们的有信免费网络电话

下载游戏玩就能免费打电话，何乐而不为呢，哈哈
在系统维护的用户活动路径

发现有个IP频繁的访问这个路径
192.168.6.52
一访问惠州地税纳税宝综合管理系统
后台管理系统
跳出了这个

用

sysadmin   123456

进去了，弱口令真是害死人啊。。。

贴上一点信息把

团队详情


mask 区域

*****城区 惠州市惠城区江^*****





注册机构	惠州市民政局	注册时间	2014-05-22 04:31:29
服务项目	敬老助老 扶贫济困 环保绿化 大型活动 应急救援 文明引导 卫生保洁 科技创新
服务区域	市直 惠城区 惠阳区 惠东县 博罗县 龙门县 大亚湾区 仲恺区
负责人信息




mask 区域

*****^国品	*****









mask 区域

*****m	出生^*****





政治面貌		汉族	汉
教育水平		专业	




mask 区域

*****州市惠城区****^*****
*****^件号码	44*****





工作单位		职位	
其它负责人

志愿者详情
账户	chen6628	编号	hz0022726
志愿团队	
个人基本信息


mask 区域

*****^君城	*****
*****^年月*****
*****^		汉*****
*****^		专*****
*****^城区********39号*****
*****^件号码	46*****





工作单位		职位	
服务类别
服务时间	上午：星期一    星期二    星期三    星期四    星期五    星期六    星期日  
下午：星期一    星期二    星期三    星期四    星期五    星期六    星期日  
晚上：星期一    星期二    星期三    星期四    星期五    星期六    星期日  
服务对象	青少年 婴幼儿 空巢老人 留守儿童 残障人士 特困群体 优抚对象 其他
服务区域	市直 惠城区 惠阳区 惠东县 博罗县 龙门县 大亚湾区 仲恺区
服务项目	其他
专业特长	其他

漏洞证明：

就这种衣服- -
这个漏洞结合了长辈“米特尼克的十大建议之一”

备份资料.记住你的系统永远不会是无懈可击的,灾难性的数据损失会发生在你身上——只需一条虫子或一只木马就已足够.

在扫目录的时候发现了

http://183.63.34.180:80/ReadMe.txt

这是一个说明文件
但是管理员没删除

项目名称：惠州西湖门户网站
项目英文名：BLPCR


mask 区域

*****：SQ*****
*****^^192.1*****
*****^：BL*****
*****：BL*****
*****18675*****









mask 区域

*****sadmin / SYS*****





SVN地址：http://server:8443/svn/BLPCR/BLPCRSQL
开发工具：VS2012
开发语言：C# MVC3.0
FrameWork版本：4.0.30319.1
其他：jQuery-1.7.1.min.js HTML5标准
COMMON.LIB --- 通用（公共）类
DAL.LIB --- 数据（正常情况下不要去动，生成Model会自动执行）
Models.LIB --- 数据实体结构
UI --- 视图页面 后台管理
Web --- 网站视图页面
SVN项目管理规则：
1、每次必须完整提交；
2、提交项目前先Update本地，排队冲突后整体提交项目，切勿单独提交新文件

好的，掌握了这些就登录把
url：http://183.63.34.180/LogOn?ReturnUrl=%2f

mask 区域

*****in  密*****

下载游戏玩就能免费打电话，何乐而不为呢，哈哈
在系统维护的用户活动路径

发现有个IP频繁的访问这个路径
192.168.6.52
一访问惠州地税纳税宝综合管理系统
后台管理系统
跳出了这个

用

sysadmin   123456

进去了，弱口令真是害死人啊。。。

贴上一点信息把

团队详情


mask 区域

*****城区 惠州市惠城区江^*****





注册机构	惠州市民政局	注册时间	2014-05-22 04:31:29
服务项目	敬老助老 扶贫济困 环保绿化 大型活动 应急救援 文明引导 卫生保洁 科技创新
服务区域	市直 惠城区 惠阳区 惠东县 博罗县 龙门县 大亚湾区 仲恺区
负责人信息




mask 区域

*****^国品	*****









mask 区域

*****m	出生^*****





政治面貌		汉族	汉
教育水平		专业	




mask 区域

*****州市惠城区****^*****
*****^件号码	44*****





工作单位		职位	
其它负责人

志愿者详情
账户	chen6628	编号	hz0022726
志愿团队	
个人基本信息


mask 区域

*****^君城	*****
*****^年月*****
*****^		汉*****
*****^		专*****
*****^城区********39号*****
*****^件号码	46*****





工作单位		职位	
服务类别
服务时间	上午：星期一    星期二    星期三    星期四    星期五    星期六    星期日  
下午：星期一    星期二    星期三    星期四    星期五    星期六    星期日  
晚上：星期一    星期二    星期三    星期四    星期五    星期六    星期日  
服务对象	青少年 婴幼儿 空巢老人 留守儿童 残障人士 特困群体 优抚对象 其他
服务区域	市直 惠城区 惠阳区 惠东县 博罗县 龙门县 大亚湾区 仲恺区
服务项目	其他
专业特长	其他

修复方案：

删除ReadMe.txt 修改密码
基本上他们的新闻都是上新闻的- -

版权声明：转载请注明来源小龙@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2014-11-14 17:42

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-082941

漏洞标题：惠州志愿者网站漏洞可导致数十万志愿者个人详细信息存在泄露风险

相关厂商：惠州志愿者

漏洞作者：小龙

提交时间：2014-11-12 11:42

修复时间：2014-12-27 11:44

公开时间：2014-12-27 11:44

漏洞类型：系统/服务运维配置不当

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源小龙@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-082941

漏洞标题：惠州志愿者网站漏洞可导致数十万志愿者个人详细信息存在泄露风险

相关厂商：惠州志愿者

漏洞作者： 小龙

提交时间：2014-11-12 11:42

修复时间：2014-12-27 11:44

公开时间：2014-12-27 11:44

漏洞类型：系统/服务运维配置不当

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-082941"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 小龙@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：小龙

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源小龙@乌云