某国际机场4000员工邮箱账户泄露涉及设施/简历/空姐/银行账户各类敏感信息

发表于 2015年07月07日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2015-0124680

漏洞标题：某国际机场4000员工邮箱账户泄露涉及设施/简历/空姐/银行账户各类敏感信息

漏洞详情

披露状态：

2015-07-07: 细节已通知厂商并且等待厂商处理中
2015-07-09: 厂商已经确认，细节仅向厂商公开
2015-07-19: 细节向核心白帽子及相关领域专家公开
2015-07-29: 细节向普通白帽子公开
2015-08-08: 细节向实习白帽子公开
2015-08-23: 细节向公众公开

简要描述：

一点寒光万丈芒屠尽天下又何妨深埋不改凌锐志一聚风云便是皇

详细说明：

大连国际机场邮箱系统地址：

http://**.**.**.**

1	http://...

整系统备份可被下载，危害大大的：

http://**.**.**.**/mail.zip

1	http://.../mail.zip

下载之后Mail包含:1.sql与mail文件夹。直接搭建mysql环境插各种命令，可获取38表

直接跑users,可以获取3995组账户信息，账户信息包括不限于账号，密码，密保问题，密保答案，创建时间，最后一次登陆时间，手机号，各种信息:

漏洞证明：

随便测试选择几条数据，密码是MD5加密的，解密后默认会加ymail，去除ymail直接登陆即可，以下找了几个弱口令账户只作为测试演示：

jyy 	123456ymail<br>
jskszy  123456ymail<br>
198419  123456ymail<br>
dlc150a 123456ymail<br>
dljc	123456ymail<br>
fjgkh	123456ymail如：jyy  密码:123456

jyy 123456ymail

jskszy 123456ymail

198419 123456ymail

dlc150a 123456ymail

dljc 123456ymail

fjgkh 123456ymail如：jyy 密码:123456

南航控制区证件专办员联系电话序号	单位	姓名	办公电话	手机<br>
1	保卫部	余  斌	3176	13904260198<br>
2	办公室	朴  凯	2366	15904115361<br>
3	人力资源部	马尔超	2403/2016	13019494680<br>
4	党委工作部	朱  红	2632	13898608237<br>
5	财务部	梁学文	2513	15941183699<br>
6	运安计部	燕  荣	3392	13500709474<br>
7	信息部	王  健	2713	13700082122<br>
8	货运部/搬运队	胡海	3362	15940903070<br>
	搬运队	尹安顺	3393	13500756035<br>
	货运部/货代	王可全	3074	13941130198<br>
9	地服部	宫秋雁	3253	13504962608<br>
10	维修厂	马  莉	3355	13591833778<br>
11	运指部	吴殿淇	2370	13352296571<br>
12	后勤部	甄继承	3011	13704941412<br>
	后勤车辆	张小鹏	3063	13909862166<br>
		高景秀	3028	13804241722<br>
13	飞行部	张  军	3346	13841176505<br>
14	客舱部	戚淑华	3233	13130407707<br>
		李  鑫	3412	13898450617<br>
15	市场销售部	张海娟	3040	13898450600<br>
16	南航财务	张会兰	2019	13940982603<br>
17	南航食品	孙  博	3461	13998555611<br>
		孙也宸	3458	13842603224<br>
18	南航航服	高  松	2337/2393	13942662977<br>
19	南方传媒	许  奕	3009	13889607656<br>
20	企管部	唐金玲	2336	13998553759<br>
21	纪委办	赵志宏	2620	13941120905<br>
22	工会办公室	赵  丽	2034	13889507008<br>
23	南航疗养院	余  斌		13904260198

南航控制区证件专办员联系电话序号单位姓名办公电话手机

1 保卫部余斌 3176 13904260198

2 办公室朴凯 2366 15904115361

3 人力资源部马尔超 2403/2016 13019494680

4 党委工作部朱红 2632 13898608237

5 财务部梁学文 2513 15941183699

6 运安计部燕荣 3392 13500709474

7 信息部王健 2713 13700082122

8 货运部/搬运队胡海 3362 15940903070

搬运队尹安顺 3393 13500756035

货运部/货代王可全 3074 13941130198

9 地服部宫秋雁 3253 13504962608

10 维修厂马莉 3355 13591833778

11 运指部吴殿淇 2370 13352296571

12 后勤部甄继承 3011 13704941412

后勤车辆张小鹏 3063 13909862166

高景秀 3028 13804241722

13 飞行部张军 3346 13841176505

14 客舱部戚淑华 3233 13130407707

李鑫 3412 13898450617

15 市场销售部张海娟 3040 13898450600

16 南航财务张会兰 2019 13940982603

17 南航食品孙博 3461 13998555611

孙也宸 3458 13842603224

18 南航航服高松 2337/2393 13942662977

19 南方传媒许奕 3009 13889607656

20 企管部唐金玲 2336 13998553759

21 纪委办赵志宏 2620 13941120905

22 工会办公室赵丽 2034 13889507008

23 南航疗养院余斌 13904260198

集团机关控制区证件专办员联系电话序号	单  位	姓  名	办公电话	手机<br>
1	集团办公室	肖  健	6809	13555978510<br>
2	集团物产部	李丽	6740	13478790445<br>
3	集团基建工程部	管  超	5413	13998412267<br>
4	集团急救中心	张宇宁	5807	13084168877<br>
5	集团信息部	李臻乙	6861	13840889408<br>
6	集团扩建部	陆  云	5764	15541100929<br>
7	集团物流园	苏利军	5682	15840950344<br>
8	集团翔达公司	朱群琳	6984	15541105969<br>
9	集团外航公司	刘  薇	6672	13941158606<br>
10	集团商贸公司	尹玉珠	6300	15842609006<br>
	集团商贸国内商场	宋彩娜	6349	13700113364<br>
	集团商贸免税店	刘欣悦	6073	13889677518<br>
11	集团货运公司/机场货代	张振建	6481	13322288383<br>
12	集团票务公司  	张  宝		13942853448<br>
13	集团机场宾馆	郑小川	6921/6922转	15541105885<br>
14	集团美航公司	战丽丽	5675	13942099128<br>
15	集团美航客房	赵  娟	6714	13322216232<br>
16	集团贵宾公司	郭晓蕾	5117	13604118733<br>
		郭  鑫		18642873899<br>
17	长海机场	张安龙	1323	13998630129<br>
18	机场公安分局	胡秉楠	5680	13504118446<br>
19	民航货运快件	陈亦军	5168	13591775757<br>
21	民航快递	陈  旭	6005	13904113219<br>
22	宇航代理	杨  斌		13909855955<br>
		张  斌		13795108090<br>
22	空港建设公司	白  冬	5033	18604288795股份机关控制区域证件专办员联系电话1	股份办公室	杨  东	6727<br>
2	股份现场运营	郑惠文	5080	18698700442<br>
3	股份安全检查站	林彦君	5714	13998598600<br>
4	股份安全检查监护	汤海亮	5751	15041125880<br>
5	股份客运部	宋兆轶	6513	13998588632<br>
		丁姿元	6513	13998578698<br>
6	机务工程部	鞠莉莉	6620	13904111247<br>
7	股份消防护卫	赵青松	5474	13591358513<br>
	一队	马  红	7083/5473	13500797086<br>
	二队	张  红	6485	15541108029<br>
8	飞行区管理部	廖旭红	6442	13942056868<br>
9	车管中心	于英瑞	6103	81731256<br>
10	航站楼管理部	王丹丹	5793	13555955796<br>
	巴斯罗缤	盛		13050573717<br>
11	航站楼意美外包	刘媛媛	5128	13478934629<br>
11	股份装卸部	王晓芹	6401	13941150946<br>
12	股份航信公司	郑  芳	6319	13591350805<br>
13	股份广告传媒	邹阿莉	83893180	13898680932