新网支付宝账户进货渠道账户泄漏

admin
admin
admin
144121
文章
118
评论
2015年6月17日10:34:17评论318 views字数 257阅读0分51秒阅读模式
摘要

2014-09-17: 细节已通知厂商并且等待厂商处理中
2014-09-17: 厂商已经确认,细节仅向厂商公开
2014-09-27: 细节向核心白帽子及相关领域专家公开
2014-10-07: 细节向普通白帽子公开
2014-10-17: 细节向实习白帽子公开
2014-11-01: 细节向公众公开

漏洞概要 关注数(5) 关注此漏洞

缺陷编号: WooYun-2014-76354

漏洞标题: 新网支付宝账户进货渠道账户泄漏

相关厂商: 新网华通信息技术有限公司

漏洞作者: jgjsfgv

提交时间: 2014-09-17 15:23

公开时间: 2014-11-01 15:24

漏洞类型: 内部绝密信息泄漏

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 弱口令 安全意识不足 后台被猜解 运维管理不当 内部敏感信息泄露 管理员密码泄漏 内部渗透测试思路 安全意识不足

0人收藏

漏洞详情

披露状态:

2014-09-17: 细节已通知厂商并且等待厂商处理中
2014-09-17: 厂商已经确认,细节仅向厂商公开
2014-09-27: 细节向核心白帽子及相关领域专家公开
2014-10-07: 细节向普通白帽子公开
2014-10-17: 细节向实习白帽子公开
2014-11-01: 细节向公众公开

简要描述:

可能导致资金异常或者被盗

详细说明:

财付通证书号:1212008101 密码:bjxin2012*

首信:

会员登录名:lishaojun 密码:58022061

代理登录名:xinnetqwert 密码:1q2w3e4r5t

快钱:

代理登录名: 操作员:baiwenjun 密码:68948800

会员登录名: 操作员:admin 密码:qiu84872181

支付宝:

会员登录名: 密码:shanghaicwb

代理登录名: 密码:shanghaicwb

无线网址进货渠道

http://kas.knet.cn/

xinnetcw / xinnet8137

另外内网机器还有弱口令。

还能连内网svn

[119.10.114.53]: root/xinnet123!@#

[119.10.114.163]: root/xinnet123#@!

URL of repository:

http://10.12.6.34/xinnet/xinnetOL

http://10.12.6.34/xinnet/xinnetOLFRONT

http://10.12.6.34/xinnet/xinnetOLBACK

http://10.12.6.34/xinnet/xinnetmis

http://10.12.6.34/xinnet/cbi_dns

http://10.12.6.34/xinnet/XinnetSystem

http://10.12.6.34/xinnet/commonSupport

http://10.12.6.34/xinnet/vpsManage

Username:lixiaobo.xinnet.com

Password:zNlgZwbP

http://agent.xinnet.com/ipCheck/y785718/w4u8tuejioa23/x136835.do?method=ipCheckLogin

登录名:xnjinan

登录密码:27fke4rusdji

认证IP系统 认证后可访问

会员平台:http://hymanage.xinnet.com/

代理平台:http://manage.xinnet.com/

登录名:gzdailuqin

登录密码:dailuqin99

口令卡:4150525464

这动态密码。。我表示我无能为力

SWRAC =

(DESCRIPTION =

(ADDRESS_LIST =

(ADDRESS = (PROTOCOL = TCP)(HOST = 10.12.25.42)(PORT = 1521))

)

(CONNECT_DATA =

(SERVICE_NAME = swrac)

)

)

xinnet / xinnetpasswd

内网数据库服务器比较严 小菜进不去 有IP限制

还获取了一些数据库的账户

liuzhangmin/liuzhangminpwd

usersu/usersupasswd

mail.transport.protocol=smtp

mail.smtp.auth=true

mail.smtp.host=mail.xinnet.com

mail.host=xinnet.com

mail.mime.address.strict=false

mail.smtp.password=u9i9t7y7

mail.subject=webserviceerror

这 。。。服务邮箱。

漏洞证明:

发了这么多了 求一个小礼物。。 我就不上图了。

另外之前还看到了各大招聘网站的账户密码 我忘记放哪了

修复方案:

你懂得 你们常用密码列出 请不要用了

xinnet123!@#

xinnet123#@!

xinnet123

xinnetpwd

xinnetpasswd

q4w5e6r7

123qwe

用户名+66

用户名+@

用户名+123!@#

版权声明:转载请注明来源 jgjsfgv@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-09-17 15:30

厂商回复:

,小新正在玩命确认及修复中

最新状态:

2014-09-28:漏洞已修复,

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-09-17 16:22 | jgjsfgv ( 普通白帽子 | Rank:106 漏洞数:10 | www.baidu.com)

    2

    新网的礼物是什么。求解 @路人哥哥

  2. 2015-07-07 08:48 | Hckmaple ( 普通白帽子 | Rank:289 漏洞数:66 | ~~~)

    0

    新网是小厂商吗?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin