58同城小测试(涉及mail+员工个人身份信息+OA+后台沦陷)

漏洞概要

缺陷编号:WooYun-2015-0130318

漏洞标题:58同城小测试(涉及mail+员工个人身份信息+OA+后台沦陷)

相关厂商:58同城

漏洞作者:爱上平顶山

提交时间:2015-07-29 22:34

公开时间:2015-09-13 22:44

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-29: 细节已通知厂商并且等待厂商处理中
2015-07-30: 厂商已经确认,细节仅向厂商公开
2015-08-09: 细节向核心白帽子及相关领域专家公开
2015-08-19: 细节向普通白帽子公开
2015-08-29: 细节向实习白帽子公开
2015-09-13: 细节向公众公开

简要描述:

纯属意外 没事瞎看
内部来看司马君经常预警,可惜,xx一样的队友太多。
[email protected]多乌云 多机会。

详细说明:

1、纯属意外,搞到几个58的账号,闲来无事就看看踩点 制作了几个密码直接Qmail挂几个密码爆破然后:[email protected] 58daojia

人真多 1W+。PS:姓名 一级部门 职位 电话 到家邮箱郭义 平台事业部 总经理 1350****643 [email protected]2、然后继续mail吧 打包放上来吧:

涉及太多敏感信息 不一一上图了3、后台等:http://union.58.com/陌陌账号密码:账号:[email protected]密码:momo123

不深入 继续下一个2015半年绩效奖金分配表,详见附件(密码:dj2015) 这个不放了。触宝生活黄页O2O开放平台ftp://ftp.cootek.cn:35595用户名: touchlife_partner密码: cootek7168改~到家的对公的京东账号,账号:天津五八到家58 密码:58shen****智联招聘账号:用户名:nuvn21926728密码:love58daojia智联搜索账号:帐号tjlk58密码58daojia冰河平台每周一生成新的密码,有效期为一周司机超级管理员:账号 [email protected]:243932美甲超级管理员:账号 [email protected]:649999小时工超级管理员:账号 [email protected]:773621月嫂超级管理员:账号 [email protected]:289083ftp://build.58corp.com/hudson/dianshangwuxian/dianshangwuxian-jiazhengmanager_4-2-30_BRANCH/1Jenkins打包也已经搞好了,详细步骤见附件。1、访问地址: http://build.58corp.com/job/dianshangwuxian-58daojia-ipa/configure可能提?示?大家没有授权:登录即可 ?用户名:dianshangwuxian 密码:123452.2.0:http://svn.58corp.com/dianshangwuxian/tags/jzt/ios/ 58daojia_2.2.0_TAG2.3.0:http://svn.58corp.com/dianshangwuxian/tags/jzt/ios/ Jiazheng_2.3.0_TAG3.0.0:http://svn.58corp.com/dianshangwuxian/tags/jzt/ios/ Jiazheng_2.3.0_TAG网址:http://build.58corp.com/view/58到家/view/58到家-Android-测试/账号:dianshangwuxian密码:12345您的SVN账号跟您的邮箱名保持一致。您的SVN账号为: liubin09您的SVN密码为: Rj8NVZXmNJjJ请您及时登陆 http://svn.58corp.com/cgi-bin/svn.cgi涉及几千人的姓名+电话+身份证号 还有大量员工信息就不上了

Mac下QQ打码好蛋疼。。。等等4、后台 (平顶山理论:没用验证码的后台都会怀孕 )冰河后台:

不一一登陆了 管理什么的上面已经说了OA: 有缺陷

RTX 应该很容易突破 邮箱里面有大量OA+RTX密码

大量员工信息: 涉及

少放图 打码麻烦。其他:腾讯微云(源文件 )账号:2114755916密码:58djywj登陆密码:07563198卡密码:95882617快钱批量付款功能已开通,以下为操作文档,兼职工资如有非招行卡的,可以使用此功能网址:https://passport.99bill.com/sso/login/authentication1.htm用户编号:10024511068用户名:[email protected]登录密码:58daojiakuaiqian支付密码:991 885快钱盾开机密码:123456亲爱的天津五八到家生活服务有限公司:恭喜您,您的快钱盾已成功激活!快钱盾型号:LGOTP-2序列号:9100000115绑定到操作员:adminok先这样 下次继续。

漏洞证明:

~~表哥说:你觉得不是高危你别修复,看我来证明是高危(ˇˍˇ)

修复方案:

提高安全意识

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-07-3022:43

厂商回复:

确认漏洞存在,感谢提交!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 子非海绵宝宝 白帽子 | Rank:1220 漏洞数:113)

    [email protected]

  2. 2010-01-01 00:00 ago 白帽子 | Rank:425 漏洞数:36)

    [email protected]

  3. 2010-01-01 00:00 xyang 白帽子 | Rank:136 漏洞数:11)

    [email protected]

  4. 2010-01-01 00:00 左手 白帽子 | Rank:32 漏洞数:4)

    [email protected]

  5. 2010-01-01 00:00 cold 白帽子 | Rank:0 漏洞数:1)

    [email protected]

  6. 2010-01-01 00:00 qhwlpg 白帽子 | Rank:141 漏洞数:13)

    [email protected]

  7. 2010-01-01 00:00 鸟云厂商 白帽子 | Rank:1196 漏洞数:106)

    [email protected]

  8. 2010-01-01 00:00 土夫子 白帽子 | Rank:348 漏洞数:38)

    [email protected]

  9. 2010-01-01 00:00 Mr.R 白帽子 | Rank:0 漏洞数:0)

    [email protected] 话说那个月薪8000的还干嘛

  10. 2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)

    [email protected]

  11. 2010-01-01 00:00 大师兄 白帽子 | Rank:0 漏洞数:0)

    [email protected]

  12. 2010-01-01 00:00 染血の雪 白帽子 | Rank:178 漏洞数:17)

    [email protected]

  13. 2010-01-01 00:00 泳少 白帽子 | Rank:158 漏洞数:20)

    [email protected]

  14. 2010-01-01 00:00 啊L川 白帽子 | Rank:136 漏洞数:15)

    [email protected] 看看这次涨薪多少

  15. 2010-01-01 00:00 Fnut 白帽子 | Rank:41 漏洞数:3)

    [email protected]

  16. 2010-01-01 00:00 围剿 白帽子 | Rank:5 漏洞数:2)

    [email protected]

  17. 2010-01-01 00:00 leaf 白帽子 | Rank:793 漏洞数:102)

    [email protected]

  18. 2010-01-01 00:00 ’‘Nome 白帽子 | Rank:57 漏洞数:7)

    目测, [email protected]

  19. 2010-01-01 00:00 我是一只小鸭子 白帽子 | Rank:10 漏洞数:1)

    卧槽 58这特么是要火啊

  20. 2010-01-01 00:00 大师兄 白帽子 | Rank:0 漏洞数:0)

    涉及好多的信息啊!

  21. 2010-01-01 00:00 roger 白帽子 | Rank:11 漏洞数:1)

    厉害,字典也强啊

  22. 2010-01-01 00:00 冰麒麟 白帽子 | Rank:0 漏洞数:0)

    看到这个字典,我就跪了

  23. 2010-01-01 00:00 BambooQJ 白帽子 | Rank:8 漏洞数:1)

    [email protected]

  24. 2010-01-01 00:00 whynot 白帽子 | Rank:383 漏洞数:28)

    众测主站俩不误 膜拜