当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0113298

漏洞标题:p2p金融安全之小微金融某测试数据库弱口令(导致邮箱管理员账号、官方微博、论坛管理员等沦陷可getshell)

相关厂商:小微金融

漏洞作者: 北京方便面

提交时间:2015-05-10 21:20

修复时间:2015-06-24 21:22

公开时间:2015-06-24 21:22

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

p2p金融安全之小微金融某测试数据库弱口令(导致邮箱管理员账号、官方微博等沦陷)

详细说明:

120.24.55.23:3306
root
root
数据库内发现:

陈静
79faa7df78166748ed11efcdcdacd19b


于是拿去尝试登陆邮箱成功

[email protected]  chenjing002


收集通讯录 爆破

[Y]:[email protected] : szxwjr123
[Y]:[email protected] : a123456
[Y]:[email protected] : a123456


[email protected]为邮箱管理员账号 有了他 可以进入任意邮箱
网站后台:http://www.weloan.com/supervisor
后台管理员:

梁广林
陈静
陈刚
黄映清
黄镜湖
郭晓岩
程洁
程红艳
麦丹


论坛:
帐/密:luoxing  /   ZQB!sYUT


屏幕快照 2015-05-10 下午8.43.44.png


屏幕快照 2015-05-10 下午8.44.10.png


官方微博:

屏幕快照 2015-05-10 下午8.44.37.png


屏幕快照 2015-05-10 下午8.57.32.png


getshell需要绕一下

漏洞证明:

修复方案:

求礼物

版权声明:转载请注明来源 北京方便面@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)