乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2016-04-03: 细节已通知厂商并且等待厂商处理中 2016-04-05: 厂商已经确认,细节仅向厂商公开 2016-04-15: 细节向核心白帽子及相关领域专家公开 2016-04-25: 细节向普通白帽子公开 2016-05-05: 细节向实习白帽子公开 2016-05-20: 细节向公众公开
敏感信息泄露
敏感信息泄露页:http://promotion.elong.com/other/about-web/web-addr.html
efchttp://efc.corp.elong.com/用户名密码域账号host:192.168.116.64 efc.corp.elong.comhtml原型http://www.test58static.com/html原型/host:192.168.9.58 www.test58static.comhttp://ui.elong.com/host:192.168.15.42 ui.elong.comcms(IE9)1.线上http://cms.corp.elong.com/mis/index2.asp(平日)http://travel.elong.com/mis/default.asp?main=(周末)用户名:xiaohua.chang 密码:nopass.2(定期更新)host:211.151.230.41 travel.elong.com活动刷新代码 ?refresh=1(国内) ?refreshcms=1(国际) 节点展示:?showcms=12.测试环境http://travel.elong.com/mis/index2.asp用户名:shengchangwen 密码:js020508测试全部发到一个环境:69环境Cms host 测试环境IP:192.168.69.19 travel.elong.com cms.corp.elong.comwebmshttp://webms.elong.com/用户名手机号图片压缩https://tinypng.com/http://www.tuhaokuai.com/bug修改1.PChttp://home.corp.elong.com/home/Site/Index?subsystem=bugfree&url=http%3A%2F%2F192.168.14.252%2Fbugfree%2Findex.php%2Fsite%2Flogin%3F用户名密码域账号2.H5http://192.168.14.101/zentaopms/www/index.php?m=user&f=login&referer=L3plbnRhb3Btcy93d3cvaW5kZXgucGhwP209YnVnJmY9dmlldyZidWdJRD02NTM=githttp://code.corp.elong.com/xy-team/slarkjs.githost:192.168.0.224 code.corp.elong.com选择分支svn-new公共: http://svn.elong.cn/svn/Code/onlineweb-java/web-framework/Trunk/static/首页: http://svn.elong.cn/svn/Code/onlineweb-java/web-homepage/Trunk/static/国内酒店:http://svn.elong.cn/svn/Code/onlineweb-java/web-hotel/Trunk/static/国际酒店:http://svn.elong.cn/svn/Code/onlineweb-java/web-ihotel/Trunk/static/公寓: http://svn.elong.cn/svn/Code/onlineweb-java/web-apartment/Trunk/static/活动:http://svn.elong.cn/svn/Code/onlineweb-java/web-huodong/Trunk/static/my艺龙:http://svn.elong.cn/svn/Code/onlineweb-java/web-myelong/Trunk/static/支付平台:http://svn.elong.cn/svn/Code/onlineweb-java/web-payment/Trunk/static/汽车票:http://svn.elong.cn/svn/Code/onlineweb-java/web-bus/Trunk/static/火车票:http://svn.elong.cn/svn/Code/onlineweb-java/web-train/Trunk/static/旧版static:http://svn.elong.cn/svn/Code/onlineweb/ElongStatic/Trunk/打包地址公共: http://hudson.corp.elong.com:8080/job/Common_JsFramework/ (包括js文件)公共: http://hudson.corp.elong.com:8080/job/Web_JsFramework/ (web打包地址)首页: http://hudson.corp.elong.com:8080/job/HomePage_Static/国内酒店: http://hudson.corp.elong.com:8080/job/Hotel_Static/国际酒店: http://hudson.corp.elong.com:8080/job/iHotel_Static/公寓: http://hudson.corp.elong.com:8080/job/Apartment_Static/活动: http://hudson.corp.elong.com:8080/job/HuoDong_Static/my艺龙: http://hudson.corp.elong.com:8080/job/MyElong_Static/支付平台: http://hudson.corp.elong.com:8080/job/Payment_Static/汽车票: http://hudson.corp.elong.com:8080/job/Bus_Static/火车票: http://hudson.corp.elong.com:8080/job/Train_Static/旧版static:http://hudson.corp.elong.com:8080/job/All_Static/部署aoshttp://home.corp.elong.com/home/Site/Index?subsystem=aos帮助中心http://help.elong.com/wp-login.php?redirect_to=http%3A%2F%2Fhelp.elong.com%2Fwp-admin%2Fthemes.php&reauth=1用户名:zhangxuejiao 密码:zxj123456http://corp.elong.com/wp-login.php?redirect_to=http%3A%2F%2Fcorp.elong.com%2Fwp-admin%2F&reauth=1用户名:abby.zhang 密码:zxj123456svnPC主站:http://svn.elong.cn/svn/Code/onlineweb/ElongStatic酒店频道:http://svn.elong.cn/svn/Code/onlineweb/Web_Hotel/Trunk/Elongstatic酒店频道分支:http://svn.elong.cn/svn/Code/onlineweb/Web_Hotel/Branches/5.1.1 (版本号会变)火车票频道:http://svn.elong.cn/svn/Code/onlineweb/Web_Train/Trunk/ElongStatic远程桌面mstsc -admin192.168.9.58用户名:yongyangyu 密码:nopass.2
后台:http://help.elong.com/wp-login.php?loggedout=true账号:zhangxuejiao密码:zxj123456
成功登入
修改密码,删除敏感页
危害等级:中
漏洞Rank:8
确认时间:2016-04-05 08:42
感谢白帽子!
暂无