漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0131833
漏洞标题:某省17地市网上车管所所有管理平台密码泄露后台沦陷
相关厂商:山东国安信息产业有限责任公司
漏洞作者: July
提交时间:2015-08-05 17:20
修复时间:2015-09-21 15:02
公开时间:2015-09-21 15:02
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-05: 细节已通知厂商并且等待厂商处理中
2015-08-07: 厂商已经确认,细节仅向厂商公开
2015-08-17: 细节向核心白帽子及相关领域专家公开
2015-08-27: 细节向普通白帽子公开
2015-09-06: 细节向实习白帽子公开
2015-09-21: 细节向公众公开
简要描述:
敢问,乌云怎么玩?
厂商给7Rank,短消息给我2Rank?
详细说明:
山东省网上车管所系统、管理帐号泄漏,含大量弱口令.
后台登陆测试+ login.do
漏洞证明:
以下管理帐号均为最高权限
济南市:http://123.233.240.70:9080/wscgs/
admin admin
manage manage
青岛市:http://cgs.qdpolice.gov.cn:9080/wscgs/
admin admin
淄博市:http://222.134.129.34:9080/wscgs/home.jsp
admin admin
枣庄市:http://218.59.228.162:9080/wscgs/
wscgs 123456
东营市:http://www.dygajj.gov.cn:9080/wscgs/home.jsp
admin adminjj904904
烟台市:http://cgs.ytjj.gov.cn:9061/wscgs/home.jsp
admin Cgs18660063269
潍坊市:http://www.wfcgs.com:9080/wscgs/home.jsp
admin admin
济宁市:http://60.211.179.22:9080/wscgs/home.jsp
admin admin
泰安市:http://60.213.185.51:9080/wscgs/
admin 888888
威海市:http://221.2.145.164:9080/wscgs/
admin admin
日照市:http://58.59.39.43:9080/wscgs/
admin admin
德州市:http://223.99.198.194:9080/wscgs/home.jsp
admin 2687129dzdz
聊城市:http://218.56.165.82/wscgs/
wb 123456
临沂市:http://123.131.131.94:9080/wscgs/
admin admin
菏泽市 http://123.130.246.26:9080/wscgs/
admin 5626705
滨州市 http://222.134.43.251:9080/wscgs/
莱芜市 http://222.134.200.57:9080/wscgs/
admin zhu666666,.
图【济南】
图【潍坊】
修复方案:
来个闪电,没有结尾。
版权声明:转载请注明来源 July@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2015-08-07 15:01
厂商回复:
CNVD确认并所述情况,已经转由CNCERT下发给相应分中心,由其后续协调网站管理单位处置。
最新状态:
暂无