当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0166578

漏洞标题:上海海博投资有限公司某系统存在漏洞可导致数万条身份证+机动车驾驶证信息泄漏

相关厂商:上海海博投资有限公司

漏洞作者: 空心

提交时间:2016-01-01 14:52

修复时间:2016-02-12 18:49

公开时间:2016-02-12 18:49

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-01: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-02-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

上海海博投资有限公司是光明食品集团有限公司旗下的全资二级子公司。
拥有“海博出租汽车”、“香港万安食品”、“思乐得不锈钢制品”三大产业结构。

详细说明:

burpsuite爆破
上海海博投资有限公司OA系统:

http://oa.haiboinvest.com/Login.aspx


11.png

漏洞证明:

抓包:

POST /login.aspx HTTP/1.1
Host: oa.haiboinvest.com
Content-Length: 379
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://oa.haiboinvest.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://oa.haiboinvest.com/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: HBOA_User=UserID=chenyan&UserIdentity=bcfaa25a-e006-4e85-a3b8-dcf8afe9164c; __guid=118750871.1637023060371456000.1451331591016.4336; ASP.NET_SessionId=eokhtz45zwf43o45usq54iaq; count=2
__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwUKLTU3NTUyOTMxNg9kFgICAw9kFgICAQ8PFgIeBFRleHRlZGQYAQUeX19Db250cm9sc1JlcXVpcmVQb3N0QmFja0tleV9fFgEFCkJ0bkNvbmZpcm3hitYCZx2MOAMVCzpoAmxoKDSkhg%3D%3D&__VIEWSTATEGENERATOR=C2EE9ABB&__EVENTVALIDATION=%2FwEWBAKp7uwBAvyCl4wHAtLF4JEPAs2t7%2BYLS5SWDg6G2uXrGBudIBTgRxPPED4%3D&User=zhangwei&Password=123456&BtnConfirm.x=47&BtnConfirm.y=18


1.png


开始爆破:

2.png


3.png


4.png


5.png


6.png


7.png


8.png


9.png


10.png


11.png


12.png


13.png


14.png


15.png


16.png


一个帐号弱口令可导致(24154+33286+55+318+5324+22743=85880)数万条身份证信息及驾驶证信息泄漏
赶紧修复漏洞吧,防止被不法分子利用。

修复方案:

改密码

版权声明:转载请注明来源 空心@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝