漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0140748
漏洞标题:航空安全值吉祥航空内网小漫游(账号体系控制不严/内部通讯录泄漏)
相关厂商:juneyaoair.com
漏洞作者: harbour_bin
提交时间:2015-09-12 17:47
修复时间:2015-10-29 09:26
公开时间:2015-10-29 09:26
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-12: 细节已通知厂商并且等待厂商处理中
2015-09-14: 厂商已经确认,细节仅向厂商公开
2015-09-24: 细节向核心白帽子及相关领域专家公开
2015-10-04: 细节向普通白帽子公开
2015-10-14: 细节向实习白帽子公开
2015-10-29: 细节向公众公开
简要描述:
RT
第一次内网, 水平有限.
详细说明:
1、邮箱地址
弱密码
登陆后, 发现VPN账号
2、登陆VPN, 进入内网, 证明
3、知道当前的IP地址是192.168.75.10, 扫描80端口, 收集相应信息
内网打印机
未授权访问
4、邮箱服务器
得到大量账号和密码(如果严重, 麻烦打码, 谢谢)
5、内部oa系统
通过邮箱收集的账号, 进行爆破, 弱密码, 你们知道的(还有很多)
进入系统, 举例说明
只要是行政企管部都是可以下载的
集团业务很多, 可进一步邮箱爆破, 你们了解的
不想继续了, 太累了...
漏洞证明:
已证明!
修复方案:
你们更专业!
PS:仅测试, 没干坏事!
版权声明:转载请注明来源 harbour_bin@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2015-09-14 09:24
厂商回复:
漏洞已确认
最新状态:
暂无