漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0123983
漏洞标题:借前人的经验沦陷某省1400w流动人口信息
相关厂商:cncert国家互联网应急中心
漏洞作者: 路人甲
提交时间:2015-07-05 12:46
修复时间:2015-08-24 12:16
公开时间:2015-08-24 12:16
漏洞类型:后台弱口令
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-05: 细节已通知厂商并且等待厂商处理中
2015-07-10: 厂商已经确认,细节仅向厂商公开
2015-07-20: 细节向核心白帽子及相关领域专家公开
2015-07-30: 细节向普通白帽子公开
2015-08-09: 细节向实习白帽子公开
2015-08-24: 细节向公众公开
简要描述:
泄露
详细说明:
链接:http://61.178.81.162:8888/LQL_OA/login.aspx#
前人经验: WooYun: 某省全员流动人口管理系统帐号密码泄漏可影响大量公民信息(QQ群泄漏)
里面有用户名 620723105 和密码 1111
我进去看了看,是甘肃的某个街道的人口信息,然后就不了了之了
后来我百度了一下这一串数字 620522201
发现这是行政区划分代码。。。然后就脑洞大开,既然620522201可以登录,那甘肃省其他的行政区呢???
那么问题来了!!!
于是我找到了这个:全甘肃的行政区划分代码列表:截图只是部分,共计1564个(具体到乡、镇、街道)
开始撞库:
随便试了几个,居然都进去了
看到了大量及其敏感的信息,因为是管理流动人口的平台,自然有公民姓名、身份证、原始居住地址、流入地址或者流出地址、亲属关系、出生日期,流动日期等等
除此之外,此平台还提供流动人口统计、增加、删除、修改、跨省协查(别找我麻烦、、、我没脱裤)、省内协查、跨省通报、省内通报、国家统计汇总、上报国家等等。。。。。。具体见截图
经过我的抽样登录,共计20个账号,其中有18个存在一模一样的弱口令:1111;有两个无法登陆(改密码了?):
成功:
620723202
620723105
620723201
620602113
620503109
620102002
620421203
620102003
620825208
620102004
620623210
620102005
620102006
620102007
620522201
620402201
620826205
620123106
失败:
620821101 x
620702401 x
18/20=90%的成功率 甘肃省共计1564个乡镇级行政划分,平均每一个行政区泄露的数据大约10000条(注明一下:每个行政区存在流入与流出的人口,一般都是流入的人口数量较多(上万条),流出的一般是几百条,加起来也是万的数量级)
所以泄露的总数据量大约:90%*1564*10000=14076000 (一千四百多万条数据)
全省一千多万的流动人员的信息就这样暴露出来了!
漏洞证明:
修复方案:
改个密码不难吧
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-07-10 12:15
厂商回复:
CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给甘肃分中心,由甘肃分中心后续协调网站管理单位处置。
最新状态:
暂无