漏洞概要 关注数(17) 关注此漏洞
缺陷编号: WooYun-2016-178007
漏洞标题: 河狸家渗透/办公/生产网漫游/百万APP用户数据
相关厂商: helijia.com
漏洞作者: Secret
提交时间: 2016-02-25 17:21
公开时间: 2016-04-10 21:17
漏洞类型: 命令执行
危害等级: 高
自评Rank: 20
漏洞状态: 厂商已经确认
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 第三方框架 远程命令执行
漏洞详情
披露状态:
2016-02-25: 细节已通知厂商并且等待厂商处理中
2016-02-25: 厂商已经确认,细节仅向厂商公开
2016-03-06: 细节向核心白帽子及相关领域专家公开
2016-03-16: 细节向普通白帽子公开
2016-03-26: 细节向实习白帽子公开
2016-04-10: 细节向公众公开
简要描述:
河狸家2015年2月获得了5000万美金的C轮融资,估值近3亿美金,与那些还停留在A轮甚至天使轮的同业企业相比,其在资本市场的吸金能力业内公认。O2O是有钱人的游戏,那么河狸家除了钱还有什么呢?
详细说明:
由于之前开放的Jenkins导致爆破口令,Jenkins可执行命令执行。
漏洞证明:
1.Jenkins命令执行,这个简单就不多说
这里包含各种版本,安卓IOS的发布程序,包括测试正式版本。当然也包含敏感信息,如
微信 APPID Secret (这个危害大不多说),还有有个别的数据账号、邮箱等,但是数据库并不能连接。
2.Mail邮件系统
根据泄露的ID可登陆邮箱,当然也可以通过exchange的导出工具进行导出联系人,
爆破部分,仅测试了简单的口令;
3.拨入内网
拨入内网的vpn系统;
3.内网漫游
办公运维资料等;
4.JIRA系统
5.cacti系统
这个汉化版有个phpmyadmin的默认口令官方的默认 user:root passwd:www.cnyunwei.com
md5解密
6.代码审查系统
7.VPN服务器
root
8.SVN信息
这里给个路径吧 很多密码都是一样的,不过不是123456,你们懂得,这个里面信息超多啊,
https://172.16.254.4/svn/documents/产品文档-2015/v3.0/河狸家-手艺人端(对外)-需求文档.docx
9.广告系统
http://ad.int.helijia.com/HljAdvert/user/login
10.易订货
查积分专用账号:chajifen 密码:chajifen2015
11.生产网芝麻屋
这个核心的东西啊,各种妹子的靓照和联系方式,你们懂得。导出的账号可以进行爆破,
12.短信平台
13.生产网VPN
账号密码就不列出来了,虽然做了权限分离,还是定期更改吧;
14.核心数据库
几百万的APP用户数据;
这个数据的东西挺多的 APP用户的账号昵称密码,手机型号,还可以弄红包,额、太多了。
还有其他的内部站点,发现问题而已 就不一一列举了。
修复方案:
1.密码定期修改,特别是复杂度,像我改的密码自己都记不起来。
2.内部安全的要有专人去做运行维护,管理权限划分。
3.定岗定责、定期进行内部的问题排查。
4.员工安全意识培训教育,这个很重要。
5.参考下信息安全建设的一些标准,满足绝大部分的要求还是可行的。
6.安全无止境,好的习惯从点滴做起。
Rank的话多少合适?20、 40,不给Rank给礼物也行。
版权声明:转载请注明来源 Secret@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:9
确认时间:2016-02-25 21:17
厂商回复:
该漏洞时内部办公网络中的一个系统的问题,已经启动紧急修复。感谢提报该问题!
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
评论