韵达快递某内部系统配置不当可导致内部信息泄漏

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125274

漏洞标题：韵达快递某内部系统配置不当可导致内部信息泄漏

漏洞作者：路人甲

提交时间：2015-07-08 10:48

修复时间：2015-08-22 12:38

公开时间：2015-08-22 12:38

漏洞类型：应用配置错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-08：细节已通知厂商并且等待厂商处理中
2015-07-08：厂商已经确认，细节仅向厂商公开
2015-07-18：细节向核心白帽子及相关领域专家公开
2015-07-28：细节向普通白帽子公开
2015-08-07：细节向实习白帽子公开
2015-08-22：细节向公众公开

简要描述：

000000 这样的口令可好。。

详细说明：

漏洞地方 https://mail.yundasys.com/owa/#
一直没找到一个好的工具，把Exchange里面的通讯录弄出来。

Payload1	Payload2
wangjianguo	000000   
wangtingting	000000 
zhanghaiyan	000000  
wanglei	111111        
liuyang	111111 
liujun	111111  
wangpeng	111111
yangyong	111111  
lixiuzhen	111111
wanghua	111111
chengang	111111
liujun	111111
liuyang	111111
zhanglong	111111
wanglong	111111
wanglei	111111
wangwei	000000
lijing	000000
wangfang	000000
zhangwei	000000
wangchao	000000
zhangtao	000000
lijie	000000
wangyan	000000
wangmin	000000
zhangjing	000000
wangli	000000
wangyan	000000
wanghui	000000
liuyan	000000
zhangjun	000000
liutao	000000
ligang	000000
liuyong	000000
wangying	000000
lihua	000000
zhangchao	000000
wangling	000000
liying	000000
liujuan	000000
liudan	000000
lixin	000000
wangli	000000
yangli	000000
zhangjian	000000
liuyan	000000
chenyan	000000
chenyan	000000
zhangming	000000
wangning	000000
wangxue	000000
wangting	000000
chenfang	000000
zhangting	000000
chenhao	000000
wanglin	000000
zhangjun	000000
zhangbin	000000
wanghui	000000
liuhuan	000000
wangliang	000000
wangying	000000
liyang	000000
zhangqian	000000
chenqiang	000000
liyang	000000
liuxin	000000
wangqian	000000
lifei	000000
lijian	000000
wangyu	000000
zhangjian	000000
zhangliang	000000
wanghaiyan	000000
chenbo	000000
liufei	000000
wangfeng	000000
wangying	000000
liukai	000000
chenxia	000000
chenyulan	000000
wanglijuan	000000
lijia	000000
liuming	000000
wanglin	000000
liying	000000
zhangjing	000000
yanglei	000000
lijing	000000
lijie	000000
lixin	000000
zhangfeng	000000
yangping	000000
liyang	000000
wangming	000000
chenmei	000000
wangyan	000000
lijian	000000
zhoujie	000000
zhaojun	000000
wangli	000000
xumin	000000
zhouyong	000000
lifeng	1q2w3e4r
wangcheng	123qwe

有的估计已经登录不上去了，有段时间了。貌似默认口令是000000，成功率很高啊！！

漏洞证明：

修复方案：

好累，不想去一个一个翻邮件了，应该有人已经察觉到了。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-07-08 12:36

厂商回复：

感谢指出，我们将及时修复

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125274

漏洞标题：韵达快递某内部系统配置不当可导致内部信息泄漏

相关厂商：韵达快递

漏洞作者：路人甲

提交时间：2015-07-08 10:48

修复时间：2015-08-22 12:38

公开时间：2015-08-22 12:38

漏洞类型：应用配置错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125274

漏洞标题：韵达快递某内部系统配置不当可导致内部信息泄漏

相关厂商：韵达快递

漏洞作者： 路人甲

提交时间：2015-07-08 10:48

修复时间：2015-08-22 12:38

公开时间：2015-08-22 12:38

漏洞类型：应用配置错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0125274"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云