当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0106035

漏洞标题:山东省某市网吧管理中心管理员泄漏导致285个网吧配置信息和用户信息泄漏、可时时查询(可自己添加逃犯人员信息)

相关厂商:山东省某市网吧管理中心

漏洞作者: Weiy、

提交时间:2015-04-05 22:39

修复时间:2015-05-22 11:08

公开时间:2015-05-22 11:08

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(公安部一所)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-05: 细节已通知厂商并且等待厂商处理中
2015-04-07: 厂商已经确认,细节仅向厂商公开
2015-04-17: 细节向核心白帽子及相关领域专家公开
2015-04-27: 细节向普通白帽子公开
2015-05-07: 细节向实习白帽子公开
2015-05-22: 细节向公众公开

简要描述:

山东省某市网吧管理中心数据泄漏导致网吧信息用户信息泄漏、可时时查询

详细说明:

mask 区域 
*****^^*****
**********
*****^^登^*****
**********
*****库时发现^*****
**********
*****218.56.1.194/Nsmc6/Lo*****
**********
*****6/LoginPa*****
**********
*****^后^*****
**********
*****92f174f87a85fd17313a46.png*****
**********
*****^^信^*****
*****^线计算机总数	计算^*****
*****0	3	3269*****
*****	23	2	56*****
*****	397	3*****
*****	452	2*****
*****0	0	0*****
*****0	0	0*****
*****	463	1*****
*****	235	2*****
*****	223	1*****
*****7  计算机总数:26176  网^*****
**********
*****8ba51cd9bd69e27a055e25.png*****
**********
*****^^一应^*****
**********
*****; 版^*****
*****	控制台版^*****
*****	探针版本*****
*****希之光*****
*****^^*****
*****连接时间: *****
*****	60 	离^*****
*****^^列号: 	0E9*****
*****网IP*****
*****息^*****
*****^备^*****
*****状态	控制台IP	*****
*****68.1.200&l*****
**********
*****53f06e95aa45e81c74d088.png*****
**********
*****下的^*****
**********
*****^IP	登记终端数	实际终端数	^*****
*****.233.142 	0	44	17 	0 	聊城市东*****
*****222.133.217.142 	65	63	41 	0 	东^*****
*****^	222.133.217.142 	65	67	29 	0 	东^*****
*****7.146 	48	49	20 	0 	山东省聊城市东昌府^*****
*****.114 	85	86	36 	0 	聊城职业^*****
*****	0 	聊城市花园北路电大南门*****
*****^限公司	60.213.233.134 	0	150	56 	0 *****
**********
*****82f4a2394a4d03bb06f58a.png*****
**********
*****^的^*****
**********
*****-------*****
*****^吧	所*****
*****^^区	^*****
*****
*****
*****^^出*****
*****
*****
*****^^出*****
*****
*****
*****^^出*****
*****
*****
*****^^出*****
*****
*****
*****^^出*****
*****^局	开^*****
*****
*****
*****^^出*****
*****
*****
*****^^派*****
*****
*****
*****^^派*****
*****
*****
*****^^出*****
*****
*****
*****^^出*****
*****唐*****
*****县*****
*****县*****
*****清	^*****
*****
*****
*****^^出*****
*****谷*****
*****平*****
*****;/code*****
**********
*****算机总数:5562  计算^*****
**********
*****dd5e9d483db867fc7041f3.png*****
**********
**********
*****^^吧^*****
**********
*****^^网吧&l*****
**********
**********
*****^查^*****
**********
*****43ceca0aec4db0b4030581.png*****
**********
*****、设^*****
**********
*****隔,如:http://xxx.xxx.xxx.xxx/xx/xx,username,pas*****
**********
*****a3129c799f12f5efcae8e7.png*****
**********
**********
*****^进入^*****
*****端或者探针状态^*****
*****^包^*****
*****^^态和报警信息、^*****
**********
*****^^控制台版本、FKE^*****
**********
*****^^客户端、探针等*****
**********
*****6738e9547c3d4b9f1524b6.png*****
**********
**********
*****^态汇总 >*****
*****^实^*****
*****^: 	*****
*****^: 	*****
*****^: 	*****
*****^率^*****
*****^: 	*****
*****
*****
*****	*****
*****
*****
*****行^*****
*****^统^*****
*****14.215.14*****
*****14.215.14*****
*****seed1.netbox*****
*****.215.142.*****
*****2.102.249*****
*****221.4.21*****
*****^^代^*****
*****^^代^*****
*****^代^*****
*****
*****
*****^*****
*****^^数^*****
*****^: 	*****
*****求数^*****
*****^^数^*****
*****^^: 	*****
*****ode&*****
**********
*****c899afa163883ff5438386.png*****
**********
*****^网者的^*****
**********
*****^进入^*****
*****^行管理^*****
*****^包^*****
*****^理部门要求,正确安装审^*****
**********
*****^体情况,以此保证网^*****
**********
*****^正常值,如果有严重偏离^*****
**********
*****^情况,进而判断考核^*****
**********
*****^卡快照和的客^*****
**********
*****^^网吧访^*****
**********
*****^^吧二代证和^*****
**********
*****反映了地州*****
**********
*****^:网民^*****
**********
*****:违规^*****
**********
*****^:二代^*****
**********
*****^吧不实名^*****
**********
**********
*****ca1a37eb54cd3123fa0126.png*****
**********
*****^计^*****
**********
*****费类型	计费^*****
*****^^	 	2011-1*****
***** 	2012-1-*****
*****	 	2012-2*****
***** 	2011-10*****
***** 	2011-7-*****
***** 	2011-7-*****
***** 	2011-9-*****
***** 	2011-5-*****
*****6.4.951.48	20*****
*****	 	2011-6*****
*****^	 	2011-7*****
*****^	 	2012-4*****
*****^	 	2012-7*****
*****	 	2013-1*****
*****952.102	2012*****
*****	 	2011-7*****
*****^^	 	2012-6*****
*****6.4.951.48	20*****
*****象	 	2011-7*****
*****^^	 	2012-2*****
*****万象	 	201*****
*****	 	2012-4*****
*****de&g*****
**********
*****71af82e3bfc03af9b881cf.png*****
**********
*****^^代证^*****
**********
**********
*****	鼎识	192.168.0.201	^*****
*****192.168.0.240	正常	*****
*****^	神思	192.168.0*****
*****^^	192.168.1.200	正^*****
*****^^	192.168.8.150	正^*****
*****92.168.0.247	正常	*****
*****92.168.0.253	正常	*****
*****92.168.2.250	正常	*****
*****^思	192.168.0.20*****
*****192.168.1.200	正常*****
*****192.168.1.188	正常*****
*****	华视	192.168.*****
*****192.168.1.210	正常*****
*****^^识	192.168.0.2*****
*****^^思	192.168.1.2*****
*****	192.168.1.200	正常*****
*****^	华视	192.168.*****
*****^^	华视	192.168.*****
*****^吧	华视	192.1*****
*****^	192.168.100.200	正^*****
*****^^中新	192.168.100*****
*****^^	华视	192.168.*****
*****192.168.0.250	正常*****
*****192.168.1.188	正常*****
*****	华视	192.168.*****
*****^^思	192.168.1.2*****
*****思	192.168.123.18*****
*****	华视	192.168.*****
*****鸟网吧	华视	17*****
*****鸟网吧	华视	17*****
*****鸟网吧	华视	17*****
*****鸟网吧	华视	17*****
*****^^中的二代证设备正常的网吧总*****
**********
*****4f134eb915e63c0c48698c.png*****
**********
**********
*****^吧统计 >*****
*****^ 	*****
*****
*****
*****列号 		视^*****
*****
*****
*****^^	视频设备状^*****
*****-7204HV-SN0120121218AA*****
**********
*****b8ed078bf62bf7efe21fa0.png*****
**********
***** 网吧^*****
**********
*****1b7ef2760fe80abc8daf43.png*****
**********
**********
*****权限蛮^*****
**********
**********
*****^进入^*****
*****^^客记^*****
*****^包^*****
*****^^可对在线顾客进行远程^*****
**********
*****件的已经下线^*****
**********
*****记录,并可对群用户^*****
*****de&g*****
**********
**********
*****^询^*****
**********
*****700688b94c54459bb84641.png*****
**********
*****^员的信息^*****
**********
*****^进入^*****
*****^息进行管^*****
*****^包^*****
*****加、删除、修改,并且可^*****
**********
*****除布控信息,并且对布控^*****
**********
*****警的手机信^*****
**********
*****^^警记录列表^*****
**********
*****C库报警记录*****
**********
*****^^种类型报^*****
**********
*****^殊人群人员上特殊网站则仅记^*****
**********
*****^已经结^*****
*****de&g*****
**********
**********
*****3cc97a816887ecca734937.png*****
**********
*****19aa18baa448e904eeb4d4.png*****
**********
*****^警 > 报警^*****
*****^^接收地区逃犯报*****
*****868	聊城^*****
*****777	聊城^*****
*****606356685	^*****
*****563023799	^*****
*****606357887	^*****
*****63019717	^*****
*****963011481	^*****
*****563041661	^*****
*****853143457	^*****
*****806355208	^*****
*****66	聊城^*****
*****^城市	是 	^*****
**********
*****ed79b6714250e3df692189.png*****
**********
*****gt; 报警设^*****
**********
*****c01a2989fe58d02e15d5fd.png*****
**********
*****^^理^*****
*****910fc8601f049e1dd9c94b.png"*****
**********
*****^器 信^*****
**********
*****dc80b7f3c858aa83a4dc45.png*****

漏洞证明:

mask 区域 
*****^^信^*****
*****^线计算机总数	计算^*****
*****0	3	3269*****
*****	23	2	56*****
*****	397	3*****
*****	452	2*****
*****0	0	0*****
*****0	0	0*****
*****	463	1*****
*****	235	2*****
*****	223	1*****
*****7  计算机总数:26176  网^*****
**********
*****8ba51cd9bd69e27a055e25.png*****
**********
**********
**********
*****^器 信^*****
**********
*****dc80b7f3c858aa83a4dc45.png*****

修复方案:

修改帐号密码吧!刻不容缓、、、、

版权声明:转载请注明来源 Weiy、@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-04-07 11:07

厂商回复:

验证确认所描述的问题,已通知其修复。

最新状态:

暂无