WooYun.org

1 发现有个哥们提交过这个系统的弱口令，但是貌似没能得到重视，此漏洞的结果是被修补后忽略了。 WooYun: 国美某系统后台多个账户弱口令
然后我就去测测这个漏洞的根本原因到底修了没。
2 问题后台：http://eye.gome.com.cn/

后台没有验证码，经过测试，根本的爆破批量检测弱口令的问题还是没有修好。
随便试了试，找到了8个弱口令。

wangyan  wangyan
zhaoli  zhaoli
wanglu  wanglu
liuyue  liuyue
hanfei  123456
lijuan  123456  
luoqiong  123456
sunbo  123456

3 随便找一个登进去看看 wangyan wangyan

4 发现是个业务管理员权限，随便翻了翻功能，发现手机选项就可以执行1000多个删除操作，说明还是有一定影响的。

5 然后在一个一个帐号测试登录过程中发现，竟然人品爆发了，发现竟然爆破到了超级管理员的帐号了！
luoqiong 123456 超级管理员
超级管理员的权限明显多了很多啊！

6 超级管理员，拥有最高的权限！

7 超级管理员的功能和权限太多了，下面我不说话，大概截图了一些感觉重要功能，自己看影响吧！

11 可以影响线上生产环境。

12 这个不知道干嘛的，看起来貌似是内网机器的监控。

13 最后这个叼了，可以初始化服务器！？