当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0138919

漏洞标题:沪江网某内部帐号泄漏/可登录多个系统/支付密码泄漏/通讯录泄漏

相关厂商:hujiang.com

漏洞作者: prolog

提交时间:2015-09-04 12:26

修复时间:2015-10-22 10:30

公开时间:2015-10-22 10:30

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-04: 细节已通知厂商并且等待厂商处理中
2015-09-07: 厂商已经确认,细节仅向厂商公开
2015-09-17: 细节向核心白帽子及相关领域专家公开
2015-09-27: 细节向普通白帽子公开
2015-10-07: 细节向实习白帽子公开
2015-10-22: 细节向公众公开

简要描述:

沪江网某内部帐号泄漏/可登录多个系统/支付密码泄漏/通讯录泄漏

详细说明:

https://github.com/bilychen/learngit/blob/f8e2c327f53df4a207f827b0707ba3c2eca3601f/userful.txt


https://oa.hujiang.com/ 
chenlibing  clb@2015
CCTalk
bily_chen  BELY0304
https://www.teambition.com
[email protected]
clb@2015
PC 
chenlibing
clb@456
http://npm.repository.servision.com.cn
proxy server:
Http Protocol Url: http://navigator.servision.com.cn:8402
Socksv5: http://navigator.servision.com.cn:8401
prod env
http://class.hujiang.com/
测试环境 dev env
http://class2.hujiang.com/
验证环境 stage env
http://yz.class.hujiang.com/
evelyn0903
evelyn0904
线上密码都是:hujiang
测试环境密码:123465
[email protected]:class/mc-hujiang-com.git
[email protected]:class/class-hujiang-com.git
windows远程软件 mstsc
https://gitlab.yeshj.com/
[email protected]
BELY0304
feature/feature_class_1234  主分支是 develop
入职体检账号:
0021002118812229
095218
Server IP: 104.143.36.129
Server Port: 3128
Password: hhn7Gu6F
class2 server
192.168.25.111
用户名 hjdev_lijia 
密码 zixinlian
控制面板\所有控制面板项\管理工具  Internet 信息服务(IIS)管理器
http://local.mc.hujiang.com/order/BookOrder.aspx?classId=140222
  
mc2.hujiang.com ftp 权限
serverip 192.168.25.159 ftpuser hjdev_lijia password 8fR^t3kS


hj.PNG


hj2.PNG


hj3.PNG


hj4.PNG


hj5.PNG


hj6.PNG


hj7.PNG

漏洞证明:

.

修复方案:

.

版权声明:转载请注明来源 prolog@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-09-07 10:29

厂商回复:

漏洞确认,正在安排处理。

最新状态:

暂无