当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158963

漏洞标题:深入小Q帮得到公司和拥有者N多资料(涉及支付宝、淘宝、邮箱、个人隐私、微信商家账号、域名、产品密钥等)

相关厂商:小Q帮

漏洞作者: 路人甲

提交时间:2015-12-07 11:32

修复时间:2016-01-21 11:40

公开时间:2016-01-21 11:40

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

话说上周5匆匆提交了一个 小Q帮的 公众号漏洞,被乌云大大 以联系不上厂商为由拒绝了。
然后不爽,那么我就来把联系方式 都挖出来,顺便漏洞一起挖了吧。

详细说明:

上周得到了公众号名称,然后得到域名xiaoqpet.cn
上网站上看联系方式里有 - 手机:18600543043 - 微信:gangdanbb
手机暂时没用PASS, 看微信号 gangdanbb 一般人的ID应该都会选择差不多的。
国内也就几大邮箱厂商,测试下这个用户名的 163,126邮箱 。
然后:
得到 邮箱: [email protected] 密码: stanley_pc_111 邮箱证明看截图

163 EMAIL.png


并且暴露N多客户信息

暴露 客户信息.png


邮箱里得到微信商家支付账号

微信支付.png


另外
微信公众平台账号 [email protected] 密码: stanley_pc_111
公众号名称: 小Q帮
微信号: xiaoq_shinian
客服:xiaoq000@xiaoq_shinian
北京拾年科技有限公司
管理者微信号:gangdanbaba

公众号 主体.png


公众号2.png


顺藤摸瓜
美橙互联 (域名管理)
stanley_q
stanley_pc_111
域名:
xiaoqpet.cn
xiaoqpet.com
另外发现使用GMAIL : [email protected] 并且开启了2次验证
需要手机号码: 请提供您的电话号码 •••••••••••41
或者QQ : 请输入您的辅助邮箱地址 8•••••••7@q•.com
发现手机号和得到的不一致然后选择得到qq邮箱。
看微信资料没什么泄漏, 于是邮箱里搜索 涉及qq.com的发现[email protected]
于是 通过 gmail ,别问gmail密码多少, 和上面密码一样的。
另外还有阿里云的账号 密码,不过这个需要短信的2次验证,这个没搞定就不放出来了。
但是可以SSH ROOT用户登陆 服务器.
最后 我再把联系方式提供一下,这次别以联系不上为由拒绝我了哦。(支付宝 微博 啥的都是 163那个邮箱,邮件里有。 涉及金钱的都没登陆过,但是真想登陆通过密码找回已经不难了,身份证号码在美橙互联资料里有,就不贴了)
名字:仇冰雪
北京市顺义区后沙峪镇后沙峪村北一街九号
固定电话:01080493690
- 手机:18600543043
- 微信:gangdanbb
最后:贴出详细信息是为了乌云方便审核,如果公开请打个马赛克吧

漏洞证明:

计划书.png

美橙.png


域名.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:20 (WooYun评价)