漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0101063
漏洞标题:中粮集团某系统漏洞可导致查看央企领导、职员工资(可在线调薪、奖金)
相关厂商:中粮集团有限公司
漏洞作者: 路人甲
提交时间:2015-03-13 08:27
修复时间:2015-04-27 08:28
公开时间:2015-04-27 08:28
漏洞类型:服务弱口令
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-03-13: 细节已通知厂商并且等待厂商处理中
2015-03-16: 厂商已经确认,细节仅向厂商公开
2015-03-26: 细节向核心白帽子及相关领域专家公开
2015-04-05: 细节向普通白帽子公开
2015-04-15: 细节向实习白帽子公开
2015-04-27: 细节向公众公开
简要描述:
最近精神比较紧张,压力好大。
每天早上起床或者看微博,到处都是看某央企董事长说月薪基本工资才7000,8000什么的。
想想都觉得醉了…. 虽然工资比我只是多了两三倍,但是心情不美丽呀。
之前看新闻说央企高管光可见的年薪动不动就是上百万,央企职工平均薪资动不动就好几十万,想想自己十年还没人家一个年多呀。
难怪,老提工头说,这就是命,咱的认命啊。
时间不多了,趁着好不容易走了四离地找的网吧,上着5块钱一小时的网,吃着4块钱一桶的泡面,得赶紧把这个漏洞写完了。。我就不墨迹了,踩着大牛们的肩膀,提交个遗漏的……
本次会公布下某央企职员的工资哦,看完你们所谓的月补贴,我哭了… 那可是好…..个月工资呀…..
平均工资都能在我们村里,都可以娶几个媳妇了…………..
央企高管工资不过万 媒体:不妨说全工资单…..
http://v.ifeng.com/news/mainland/201503/01be0c92-0bc1-43cb-8d90-18739ceff946.shtml
尼玛,普通职员都好……万…. 不信吗?不信等公开呀。。有图有真相….. 据说还可以在线调整工资呢…..不信吗? 不信等公开啊..
对了,你们还招人么。。。我会各种打杂……
详细说明:
刚打开看到中粮集团的厂商列表,看到漏洞们都被忽略掉了…
搜索打开一个也没,发现有个漏洞还木有修复,那就是弱口令…
中粮集团人力资源系统
http://ehr.cofco.com/
账号和密码 test 这个漏洞好久好久前都公开了呀,没修复,不知道你们是怎么想的啊。
WooYun: 看我如何拿下中粮集团大部分系统的
确实打开这个地址,标题写的确实是中粮集团人力资源系统。
尝试着 用账号test 密码:test 登陆后。
居然成功了。
发现确实这个系统的功能挺多的。。
日期我就打码了。。
看到有绩效管理,薪酬管理。…
果断打开。。点击薪酬管理… 看这个系统有在线加薪,调薪的功能。。。
太强大了。。。
还可以调奖金….
看得我都醉了。。
相关保险福利都可以管理,更改参数。。。
打开薪酬管理,我看到了领导们的工资。。
吓死我了,基本工资800000.。。。。
奖金也好几十万。
我数学没算错的话,应该是一百多万。。。。。
吓死我了。。
都是好几十万一年。
领导都是过百万。
漏洞证明:
2015年2月份的工资。。。 基本工资….4万多。。。还有各种福利….
还有各种护照管理等等功能。。。
接下看到了领导的历年来的工资标准。。。。
差距啊。。。
修复方案:
提高全员安全意识。。。。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2015-03-16 09:45
厂商回复:
正在整改中,感谢
最新状态:
暂无