安平贷后台源码泄露（通讯录泄露/服务邮箱泄露/数据库密码泄露）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0143409

漏洞标题：安平贷后台源码泄露（通讯录泄露/服务邮箱泄露/数据库密码泄露）

漏洞作者：路人甲

提交时间：2015-09-25 18:48

修复时间：2015-11-12 09:06

公开时间：2015-11-12 09:06

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-09-25：细节已通知厂商并且等待厂商处理中
2015-09-28：厂商已经确认，细节仅向厂商公开
2015-10-08：细节向核心白帽子及相关领域专家公开
2015-10-18：细节向普通白帽子公开
2015-10-28：细节向实习白帽子公开
2015-11-12：细节向公众公开

简要描述：

详细说明：

https://github.com/songkang1/webc/blob/fd905971e03a2858c5749833a3c45edb48368b0f/App/Common/Conf/config.php

'MAIL_HOST' => 'smtp.exmail.qq.com', //smtp服务器的名称
    'MAIL_SMTPAUTH' => TRUE, //启用smtp认证
    'MAIL_USERNAME' => '[email protected]', //你的邮箱名
    'MAIL_FROM' => '[email protected]', //发件人地址
    'MAIL_FROMNAME' => '安平贷', //发件人姓名
    'MAIL_PASSWORD' => 'apd5715', //邮箱密码

https://github.com/songkang1/webc/blob/fd905971e03a2858c5749833a3c45edb48368b0f/DB/webc.sql

--
-- 转存表中的数据 `v_admin_user`
--
INSERT INTO `v_admin_user` (`id`, `role`, `username`, `u_email`, `password`, `created`, `updated`, `last_login_time`) VALUES
(1, '1,2,3,4,5,6,7,8', 'admin', '', 'f00aad78f02dd981057728d3379958e5', '1428045150', '1439189673', '1441610009'),
(12, '1', 'it-test', '', 'e10adc3949ba59abbe56e057f20f883e', '1428045150', '1442369311', '1442367729');

https://github.com/songkang1/webc/blob/master/App/Common/Conf/db.php

<?php
return array(
	'DB_TYPE'   => 'mysql', // 数据库类型
	'DB_HOST'   => 'localhost', // 服务器地址
	'DB_NAME'   => 'webc', // 数据库名
	'DB_USER'   => 'root', // 用户名
	'DB_PWD'    => 'testfrodo', // 密码
	'DB_PORT'   => 3306, // 端口
	'DB_PREFIX' => 'v_', // 数据库表前缀
	'DB_CHARSET' => 'utf8' //数据库编码
    
//    'DB_TYPE'   => 'mysql', // 数据库类型
//	'DB_HOST'   => 'rds8q2e3tfc55xn3s89f.mysql.rds.aliyuncs.com', // 服务器地址
//	'DB_NAME'   => 'anpingdai2', // 数据库名
//	'DB_USER'   => 'aikangs', // 用户名
//	'DB_PWD'    => 'aikangsong1', // 密码
//	'DB_PORT'   => 3306, // 端口
//	'DB_PREFIX' => 'v_', // 数据库表前缀
//	'DB_CHARSET' => 'utf8' //数据库编码

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2015-09-28 09:05

厂商回复：

感谢你的提交，我们正在处理

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0143409

漏洞标题：安平贷后台源码泄露（通讯录泄露/服务邮箱泄露/数据库密码泄露）

相关厂商：anpingdai.com

漏洞作者：路人甲

提交时间：2015-09-25 18:48

修复时间：2015-11-12 09:06

公开时间：2015-11-12 09:06

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0143409

漏洞标题：安平贷后台源码泄露（通讯录泄露/服务邮箱泄露/数据库密码泄露）

相关厂商：anpingdai.com

漏洞作者： 路人甲

提交时间：2015-09-25 18:48

修复时间：2015-11-12 09:06

公开时间：2015-11-12 09:06

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0143409"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云