盛大网络部分服务器配置文件泄漏

2015年6月29日19:50:12评论341 views字数 199阅读0分39秒阅读模式

摘要

2014-10-04：细节已通知厂商并且等待厂商处理中
2014-10-05：厂商已经确认，细节仅向厂商公开
2014-10-15：细节向核心白帽子及相关领域专家公开
2014-10-25：细节向普通白帽子公开
2014-11-04：细节向实习白帽子公开
2014-11-18：细节向公众公开

漏洞概要关注数(9) 关注此漏洞

缺陷编号： WooYun-2014-78318

漏洞标题：盛大网络部分服务器配置文件泄漏

漏洞作者：子非海绵宝宝

提交时间： 2014-10-04 19:14

公开时间： 2014-11-18 19:18

漏洞类型：网络敏感信息泄漏

危害等级：低

自评Rank： 1

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

0人收藏

漏洞详情

披露状态：

简要描述：

/bugs/wooyun-2014-077835
盛大求挖掘...那我就挖一挖
最近家有大喜事.也不深入挖掘了.

详细说明：

泄漏的应该是一些遗弃的服务器和一些测试文件可能

还有一些服务器安装文件

不过大部分后台都加了IP限制所以泄漏量还是比较少的

部分未加IP限制的会少量的泄漏服务器的部分信息

http://115.182.6.10:8080/src/user.sql 里面的数据我还不清楚是什么因为家里面有事没有办法对C端全端口扫描就浅浅的挖一挖,估计东西会不少

已知端口 264 2730 1723 8009

http://115.182.6.10:8080/src/ 这里面应该是服务器安装文件信息不少

漏洞证明：

修复方案：

直接关闭过期遗弃服务器留着多多少少有些隐患

版权声明：转载请注明来源子非海绵宝宝@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-10-05 12:11

厂商回复：

谢谢报告，这个怎么能算低级漏洞呢，高危！

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-10-04 20:01 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

1

@盛大网络还有安全证书的泄漏不过我没贴上去你注意下端口尾数64的那个

1# 回复此人
2014-10-04 20:47 | 猪猪侠 ( 核心白帽子 | Rank:5372 漏洞数:415 | 你都有那么多超级棒棒糖了，还要自由干吗？)

0

把他裤子脱了打PP。

2# 回复此人
2014-10-04 20:54 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

0

@猪猪侠还有个没有审核....和他内网信息有关但是咱是新手...不会利用啊

3# 回复此人
2014-10-04 23:22 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 看人生万般无奈，看世间千姿百态...)

0

擦盛大..

4# 回复此人
2014-10-05 12:13 | 盛大网络(乌云厂商)

0

@猪猪侠好酸

5# 回复此人
2014-10-05 12:19 | 盛大网络(乌云厂商)

1

人参嘛，就是笑笑别人，顺便再让别人笑笑。

6# 回复此人
2014-10-05 13:06 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

0

@盛大网络人生如戏,有时喜剧,有时悲剧...

7# 回复此人
2014-10-05 16:24 | huc-ray ( 路人 | Rank:25 漏洞数:9 | 菜鸟一枚)

0

@猪猪侠新人+菜鸟求审核

8# 回复此人

漏洞概要 关注数(9) 关注此漏洞

缺陷编号： WooYun-2014-78318

漏洞标题： 盛大网络部分服务器配置文件泄漏

相关厂商： 盛大网络

漏洞作者： 子非海绵宝宝