缺陷编号:WooYun-2015-0126532
漏洞标题:中粮集团某重要业务系统超多账户体系控制不严导致内网系统漫游(涉及各种内部敏感信息)
相关厂商:中粮集团有限公司
漏洞作者:管管侠
提交时间:2015-07-13 18:46
公开时间:2015-08-29 13:26
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
2015-07-13: 细节已通知厂商并且等待厂商处理中
2015-07-15: 厂商已经确认,细节仅向厂商公开
2015-07-25: 细节向核心白帽子及相关领域专家公开
2015-08-04: 细节向普通白帽子公开
2015-08-14: 细节向实习白帽子公开
2015-08-29: 细节向公众公开
想怎么漫游就怎么漫游
回答大家的问题,我用的是burpsuit
https://mail.cofco.comoutlook是可以爆破的,只不过好多人弄不清楚?最喜欢遇到outlook了
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 |
<mask>*****88 Cof*****<br> *****g Cofc*****<br> *****ng Co*****<br> *****n Cof*****<br> ***** Cof*****<br> ***** Cof*****<br> ***** Cofc*****<br> ***** Cof*****<br> *****ofco*****<br> ***** Cofc*****<br> *****Cofco*****<br> *****Cofc*****<br> ***** Cof*****<br> *****ofco*****<br> ***** Cofco*****<br> *****ofco1*****<br> *****Cofco1*****<br> *****Cofco*****<br> *****co123*****<br> ***** Cofco*****<br> *****Cofco*****<br> *****i Cof*****<br> ***** Cofc*****<br> *****ng Cof*****<br> *****g Cofc*****<br> ***** Cofco*****<br> *****n Cof*****<br> ***** Cofc*****<br> ***** Cofco*****<br> *****u Cof*****<br> *****g Cofc*****<br> ***** Cofc*****<br> *****1 Cof*****<br> ***** Cofco*****<br> ***** Cofco*****<br> *****u Cof*****<br> ***** Cofc*****<br> ***** Cofc*****<br> ***** Cofc*****<br> *****1 Cof*****<br> *****g Cof*****<br> ***** Cofco*****<br> *****Cofco*****<br> *****Cofco*****<br> *****Cofco*****<br> *****Cofc*****<br> *****Cofco*****<br> *****Cofco*****<br> *****Cofco*****<br> *****ofco@*****<br> *****ofco@*****<br> *****Cofco*****<br> *****ofco*****<br> *****ofco@*****<br> ***** Cofc*****<br> *****ofco2*****<br> ***** Cofc*****<br> ***** Qwe*****<br> *****Qwer1*****<br> *****er12*****<br> ***** Asdf*****<br> *****a1 P@*****<br> *****g [email protected]*****<br> *****ing P@*****<br> *****ng P@*****<br> *****1 [email protected]*****<br> *****i [email protected]*****<br> *****an P@*****<br> *****n [email protected]*****<br> *****ng [email protected]*****<br> *****a [email protected]*****<br> *****g [email protected]*****<br> *****d [email protected]*****<br> *****b [email protected]*****<br> *****i [email protected]*****<br> *****ng [email protected]*****<br> *****ng P@*****<br> ***** [email protected]*****<br> ***** [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> ***** [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> ***** [email protected]*****<br> [email protected]*****<br> ***** [email protected]*****<br> [email protected]*****<br> ***** [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> ***** [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> [email protected]*****<br> ***** [email protected]*****<br> ***** [email protected]*****<br> *****ssw0*****<br> ***** Abc1*****<br> *****Abc12*****<br> *****bc12*****<br> *****Abc1*****<br> *****yu Ab*****<br> *****n Abc*****<br> *****08 Abc*****<br> *****g Abc*****<br> *****ng Abc*****<br> *****....*****<br></mask> |
太多了,回答厂商的在别人案例中的问题:密码虽然符合设置规则,但是,邮箱系统可以爆破其次,上面爆破的是常见的强口令字典,同事符合人的使用习惯。所以安全是一个整体,人员的安全教育也是必不可少,回答的如何!!!
这么多邮箱可以登录,涉及几十万到数百万封邮件,往来的密码邮件多了去了,各种滋味不言表了
然后搜一下有上面系统可以登录
单点登录的思想害了很多企业,不止你一家,这么多系统,我就看看,不做坏事内部系统的问题肯定更多
问题:1.解决爆破2.安全教育3.单点登录慎用
危害等级:高
漏洞Rank:20
确认时间:2015-07-1513:24
邮件系统安全整改及SSO缺陷评估,已引起我们高度重视,非常感谢您主动帮助我们改善系统的安全环境!
暂无
关注的白帽子 管管侠 发表了漏洞 中粮集团某重要业务系统超多账户体系控制不严导致内网系统漫
休息好了
中粮集团的洞好像都是忽略
@窝窝哥 没有阿,最近给的rank挺多的呢! WooYun: 中粮某员工信息泄漏导致大量敏感信息外泄
擦!你果然又是从邮件搞起了!
@px1624 老是爆破邮箱,密码经常都是域名+123
@px1624 庞总你也挖啊
@管管侠 求教outlook怎么爆破
原文连接
的情况下转载,若非则不得使用我方内容。