人类的怠惰之一安全管理执行力度不够导致寺库中国安全边界被突破(进入内网)

漏洞概要

缺陷编号:WooYun-2015-0121853

漏洞标题:人类的怠惰之一安全管理执行力度不够导致寺库中国安全边界被突破(进入内网)

相关厂商:寺库中国

漏洞作者:路人甲

提交时间:2015-06-20 22:53

公开时间:2015-08-06 17:18

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-06-20: 细节已通知厂商并且等待厂商处理中
2015-06-22: 厂商已经确认,细节仅向厂商公开
2015-07-02: 细节向核心白帽子及相关领域专家公开
2015-07-12: 细节向普通白帽子公开
2015-07-22: 细节向实习白帽子公开
2015-08-06: 细节向公众公开

简要描述:

就是个弱口令,简单而又高效且杀伤力巨大中国姓名排行TOP500(数据统计来自国家人口数据库)
http://zone.wooyun.org/content/18372Top 100 baby names per country
http://t.cn/RwLzSdUList of most popular given names
http://t.cn/8sEjmYGSome common countries. Top 10 surnames and forenames
http://t.cn/RwLzSd4List of most common surnames in Asia
http://t.cn/zTAFSEu

详细说明:

http://www.secoo.com/qqexmail:http://mail.secoo.com/中国姓名排行TOP500(数据统计来自国家人口数据库)http://zone.wooyun.org/content/18372爆破知如下帐号密码:

漏洞证明:

开始了DHL订单

客服信息

等等,先想想为什么都是a123456看这里

原来如此那我们看RTX

一开始登录不上,看下配置,选择远程登录即可

商家后台密码泄漏如

企业邮箱通讯录

来,我们来看下一个叫曹京的人

掌管各种VPN嗯,VPN

目测一个员工一个VPN未相继测试还有国外VPN,是一个叫lili美女的一个邮件里有下载openvpn

各种密码哇

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-2217:18

厂商回复:

感谢提交,已经积极修复

最新状态:

暂无

评价

  1. 2010-01-01 00:00 Summer 白帽子 | Rank:331 漏洞数:36)

    猪猪侠!

  2. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    这个..呵呵

  3. 2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)

    股市不好的时候,猪猪侠就跑来发洞了。紧跟趋势。

  4. 2010-01-01 00:00 大物期末不能挂 白帽子 | Rank:128 漏洞数:13)

    会是猪猪侠么?

  5. 2010-01-01 00:00 scanf 白帽子 | Rank:1161 漏洞数:100)

    股市不好的时候,猪猪侠就跑来发洞了。紧跟趋势。

  6. 2010-01-01 00:00 猪猪侠 白帽子 | Rank:2932 漏洞数:249)

    这个真不是我提交的

  7. 2010-01-01 00:00 jeary 白帽子 | Rank:117 漏洞数:14)

    模仿作案!