当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0105747

漏洞标题:某省煤矿安全监察局行政许可系统沦陷(妈妈再也不用担心挖煤办不了证书了)

相关厂商:某省挖煤办

漏洞作者: 辛巴

提交时间:2015-04-04 07:59

修复时间:2015-05-23 09:38

公开时间:2015-05-23 09:38

漏洞类型:应用配置错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-04: 细节已通知厂商并且等待厂商处理中
2015-04-08: 厂商已经确认,细节仅向厂商公开
2015-04-18: 细节向核心白帽子及相关领域专家公开
2015-04-28: 细节向普通白帽子公开
2015-05-08: 细节向实习白帽子公开
2015-05-23: 细节向公众公开

简要描述:

.。。要去山东挖煤的,拿钱找我办许可

详细说明:

首先进入一个登陆页面
地址:https://218.57.138.157/portal_default/index1.html

WXNFZS4RZ1P%EPO$FAVGM@B.png


账号test 密码:123456

BL67A$M1](N{P51_$%@{SR8.png


然后看到两个系统登陆地址 如图2
第一个测试不了,第二个弱口令,也就是煤矿许可系统
账号admin 密码;123456

}1%83`A5~YADR29DI0T8Z1G.png


抱歉,各位领导的大名我看见了。。。应该不会查我水表吧。。。

漏洞证明:

首先进入一个登陆页面
地址:https://218.57.138.157/portal_default/index1.html

WXNFZS4RZ1P%EPO$FAVGM@B.png


账号test 密码:123456

BL67A$M1](N{P51_$%@{SR8.png


然后看到两个系统登陆地址 如图2
第一个测试不了,第二个弱口令,也就是煤矿许可系统
账号admin 密码;123456

}1%83`A5~YADR29DI0T8Z1G.png


抱歉,各位领导的大名我看见了。。。应该不会查我水表吧。。。

修复方案:

一。修改密码,不用采用123456等弱口令作为密码。
二。最后图片中出现的所有用户做传导,禁止弱口令,以防被人二次利用。

版权声明:转载请注明来源 辛巴@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-04-08 09:37

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给相应分中心,由其后续协调网站管理单位处置

最新状态:

暂无