中粮集团某重要业务系统超多账户体系控制不严导致内网系统漫游(涉及各种内部敏感信息)
- 发表于
- WooYun漏洞库
漏洞概要
缺陷编号:WooYun-2015-0126532
漏洞标题:中粮集团某重要业务系统超多账户体系控制不严导致内网系统漫游(涉及各种内部敏感信息)
相关厂商:中粮集团有限公司
漏洞作者:管管侠
提交时间:2015-07-13 18:46
公开时间:2015-08-29 13:26
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
漏洞详情
披露状态:
2015-07-13: 细节已通知厂商并且等待厂商处理中
2015-07-15: 厂商已经确认,细节仅向厂商公开
2015-07-25: 细节向核心白帽子及相关领域专家公开
2015-08-04: 细节向普通白帽子公开
2015-08-14: 细节向实习白帽子公开
2015-08-29: 细节向公众公开
简要描述:
想怎么漫游就怎么漫游
回答大家的问题,我用的是burpsuit
详细说明:
https://mail.cofco.comoutlook是可以爆破的,只不过好多人弄不清楚?最喜欢遇到outlook了
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 |
<mask>*****88 Cof*****<br> *****g Cofc*****<br> *****ng Co*****<br> *****n Cof*****<br> ***** Cof*****<br> ***** Cof*****<br> ***** Cofc*****<br> ***** Cof*****<br> *****ofco*****<br> ***** Cofc*****<br> *****Cofco*****<br> *****Cofc*****<br> ***** Cof*****<br> *****ofco*****<br> ***** Cofco*****<br> *****ofco1*****<br> *****Cofco1*****<br> *****Cofco*****<br> *****co123*****<br> ***** Cofco*****<br> *****Cofco*****<br> *****i Cof*****<br> ***** Cofc*****<br> *****ng Cof*****<br> *****g Cofc*****<br> ***** Cofco*****<br> *****n Cof*****<br> ***** Cofc*****<br> ***** Cofco*****<br> *****u Cof*****<br> *****g Cofc*****<br> ***** Cofc*****<br> *****1 Cof*****<br> ***** Cofco*****<br> ***** Cofco*****<br> *****u Cof*****<br> ***** Cofc*****<br> ***** Cofc*****<br> ***** Cofc*****<br> *****1 Cof*****<br> *****g Cof*****<br> ***** Cofco*****<br> *****Cofco*****<br> *****Cofco*****<br> *****Cofco*****<br> *****Cofc*****<br> *****Cofco*****<br> *****Cofco*****<br> *****Cofco*****<br> *****ofco@*****<br> *****ofco@*****<br> *****Cofco*****<br> *****ofco*****<br> *****ofco@*****<br> ***** Cofc*****<br> *****ofco2*****<br> ***** Cofc*****<br> ***** Qwe*****<br> *****Qwer1*****<br> *****er12*****<br> ***** Asdf*****<br> *****a1 P@*****<br> *****g [email protected]*****<br> *****ing P@*****<br> *****ng P@*****<br> *****1 [email protected]*****<br> *****i [email protected]*****<br> *****an P@*****<br> *****n [email protected]*****<br> *****ng [email protected]*****<br> *****a [email protected]*****<br> *****g [email protected]*****<br> *****d [email protected]*****<br> *****b [email protected]*****<br> *****i [email protected]*****<br> *****ng [email protected]*****<br> *****ng P@*****<br> ***** [email protected]*****<br> ***** [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> ***** [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> ***** [email protected]*****<br> [email protected]*****<br> ***** [email protected]*****<br> [email protected]*****<br> ***** [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> ***** [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> ***** [email protected]*****<br> ***** [email protected]*****<br> *****ssw0*****<br> ***** Abc1*****<br> *****Abc12*****<br> *****bc12*****<br> *****Abc1*****<br> *****yu Ab*****<br> *****n Abc*****<br> *****08 Abc*****<br> *****g Abc*****<br> *****ng Abc*****<br> *****....*****<br></mask> |
太多了,回答厂商的在别人案例中的问题:密码虽然符合设置规则,但是,邮箱系统可以爆破其次,上面爆破的是常见的强口令字典,同事符合人的使用习惯。所以安全是一个整体,人员的安全教育也是必不可少,回答的如何!!!
漏洞证明:
这么多邮箱可以登录,涉及几十万到数百万封邮件,往来的密码邮件多了去了,各种滋味不言表了
然后搜一下有上面系统可以登录
单点登录的思想害了很多企业,不止你一家,这么多系统,我就看看,不做坏事内部系统的问题肯定更多
修复方案:
问题:1.解决爆破2.安全教育3.单点登录慎用
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-07-1513:24
厂商回复:
邮件系统安全整改及SSO缺陷评估,已引起我们高度重视,非常感谢您主动帮助我们改善系统的安全环境!
最新状态:
暂无
评价
-
2010-01-01 00:00 卖C4的小男孩 白帽子 | Rank:43 漏洞数:3)
关注的白帽子 管管侠 发表了漏洞 中粮集团某重要业务系统超多账户体系控制不严导致内网系统漫
2010-01-01 00:00 DloveJ 白帽子 | Rank:731 漏洞数:64)休息好了
2010-01-01 00:00 窝窝哥 白帽子 | Rank:55 漏洞数:10)中粮集团的洞好像都是忽略
2010-01-01 00:00 _Thorns 白帽子 | Rank:796 漏洞数:60)@窝窝哥 没有阿,最近给的rank挺多的呢! WooYun: 中粮某员工信息泄漏导致大量敏感信息外泄
2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)擦!你果然又是从邮件搞起了!
2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)@px1624 老是爆破邮箱,密码经常都是域名+123
2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)@px1624 庞总你也挖啊
2010-01-01 00:00 BMa 白帽子 | Rank:1666 漏洞数:121)@管管侠 求教outlook怎么爆破
原文连接:中粮集团某重要业务系统超多账户体系控制不严导致内网系统漫游(涉及各种内部敏感信息) 所有媒体,可在保留署名、原文连接的情况下转载,若非则不得使用我方内容。- N/A
- 2020 Google镜像大全,谷歌镜像网址
- BT磁力搜索引擎大全
- Javaweb架构分析安全之万户ezoffice全版本通杀上传GETSHELL
- 东方网景某严重安全漏洞(可导致上万网站沦陷/域名劫持/FTP服务安全/集群安全等可受到影响)
- 暗网是什么?如何进入暗网?
- 最新ESET NOD32 License Key/激活码/许可证密钥/用户名密码
- No Access-Control-Allow-Origin 跨域错误解决
- 社工库源码大全(持续更新)
- 谷歌识图,以图搜图
- this channel is blocked because it was used:Telegram群组/频道屏蔽解决方法
- 【透明互联网】社工库 Social Engineering Data
- 怎么用图片搜索番号?
- 一个绕过Google谷歌验证码(reCAPTCHA)的方法
- 9部有史以来最好的黑客电影
- 手机BT/种子下载,手机磁力链下载软件整理
扫码分享
验证:体验盒子扫码分享
打赏零钱
