当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120842

漏洞标题:联动天下某处配置不当可泄露8年公司发展财务以及近上万域名+服务器解析权限(核心业务均受影响)

相关厂商:72dns.com

漏洞作者: 带头大哥

提交时间:2015-06-16 13:13

修复时间:2015-06-21 13:14

公开时间:2015-06-21 13:14

漏洞类型:网络未授权访问

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-16: 细节已通知厂商并且等待厂商处理中
2015-06-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

一点寒光万丈芒
屠尽天下又何妨
深埋不改凌锐志
一聚风云便是皇

详细说明:

财务系统直接访问:http://f.72dns.com/test.aspx
上下可切换,不要着急,一页一页切换就可以了。


1.jpg


当前条件下收入金额为:940862928.624737 元
当前条件下支出金额为:69518302.3568373 元
结余:871344626.2679 元
Page:216/216 9 3 ... 211 212 213 214 215 216
谁说做IDC不赚。。。。(出来分分钟打死他)

漏洞证明:

新网 agent.xinnet.com
账号:agent28792 密码:bjkfkHJKKBR2008

23.png


万网 域名 www.net.cn
[email protected] 密码GIORTFJbcjhkhhaha502

1.png


http://www.chinac.com
用户名:72ehsq 密码:hsq3389

2.png


新世界后台管理:www.newworldtel.com
账号:[email protected] 密码:000028

23.png


登陆 59.38.126.232
用户名:staff 密码:&@ENET_staff

1.jpg


https://spas2.hkirc.hk
客服帐号 72e-kf 新密码:fs72equanz@jlyd
青云节点
https://www.qingcloud.com
账号:[email protected] 密码:hsq3389

1.jpg


https://cp.35.com/chinese
账号:1274219密码:fshuangVIFJHJK#8
http://www.linkgou.com/main.jsp
账号:578300686 密码:Rao72e723

1.jpg


user: [email protected] pass: fsquanmfc889
http://cnlogin.resellerclub.com/reseller

22.jpg


cn.resellerclub.com
user: [email protected] pass: fsquanmfc889
http://www.aliyun.com/
[email protected]密码:xwjl19871003
https://accounts.google.com/
账号 [email protected] 密码lxface123
http://www.ietdata.com/
用户名 hsq1011 密码 hsq3389

后面这几处,自己登陆看吧。权限稳稳的~


再送一处:

http://wei.72dns.com/phpinfo.php

修复方案:

所包含域名简单统计:新网5588+万网183+云服务器:217+cnresel:3542(后几个没列举)=9530
每个账户都基本有余额哦~万网什么的可提现,简单统计最少过2万..
这些都不是主要的,主要的我们要从涉及账户中看到危害...
好像以上账户都是贵公司的核心业务点把....
8年财务也可以让坏人看到很多信息.....
作为IDC..安全应该是第一位.....
尽快修复.......有没有$$$~

版权声明:转载请注明来源 带头大哥@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-06-21 13:14

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无