中国移动MAS代理服务器存在MYSQL用户名口令

登陆IP：**.**.**.**:80

直接复制上一个漏洞的，哈哈，原谅我懒惰！！！

通过猜解出MYSQL(数据库用户为root,密码是12345678)密码后，用nmap得知80为web登陆端口，这次移动更彻底，端口都没改，哎一进来我就看到这熟悉的界面果断登陆。于是用得到登陆用户名（admin）和密码(123456789)，可以对mas短信服务和wap服务进行修改，这次好像还多了一个工资发送- -。嘿嘿。导致移动服务瘫痪，导致后果极其严重。

继续默默挖洞去

* 修改用户口令:设置足够强度的口令。

* 经常查看MySQL的漏洞情况,及时安装其更新升级包

厂商回应：

危害等级：高

漏洞Rank：13

确认时间：2014-09-07 09:25

厂商回复：

最新状态：

暂无

1. 2014-09-02 15:12 | cf_hb ( 普通白帽子 | Rank:119 漏洞数:17 | 爱生活，爱安全！)

   0

   嘿嘿。。

   1# 回复此人

2. 2014-09-02 16:42 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

   0

   存在MYSQL用户名口令？

   2# 回复此人

3. 2014-09-04 22:42 | 雅柏菲卡 ( 普通白帽子 | Rank:1299 漏洞数:259 | 雙魚座聖鬥士雅柏菲卡)

   0

   存在MYSQL用户名口令？

   3# 回复此人

4. 2014-09-05 10:19 | 东方不败 ( 普通白帽子 | Rank:518 漏洞数:81 | 日出东方，唯我不败。)

   0

   @wefgod 恩

   4# 回复此人

5. 2014-09-11 10:49 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

   0

   @东方不败 其实没看明白啥意思，是说弱口令？

   5# 回复此人

6. 2014-09-11 13:12 | 东方不败 ( 普通白帽子 | Rank:518 漏洞数:81 | 日出东方，唯我不败。)

   0

   @wefgod 恩，数据库弱口令，然后没有限制外网登陆数据库。直接直连、、、然后获取登陆用户和密码。。我的错没写好明白，让大神见笑了。嘿嘿

   6# 回复此人

7. 2014-10-20 11:51 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部！)

   0

   这也只影响某一单位的MAS设备，后果没啥严重。。又不是全网。

   7# 回复此人