一份文档泄露导致杀入12306某系统后台二

编号174794
Urlhttp://www.wooyun.org/bug.php?action=view&id=174794
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题一份文档泄露导致杀入12306某系统后台二
漏洞类型后台弱口令
厂商12306
白帽子随风的风
提交日期2016-02-04 16:38:00
公开日期2016-02-04 17:19:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签安全意识不足 后台管理地址对外 安全意识不足
关注数0
收藏数0
白帽评级
白帽自评rank8
厂商评级
厂商评rank0
漏洞简介
再次杀入12306后台。。继续 1分啊。。呵呵
漏洞细节

跟上次一样。。受301指导。。。尝试pdf文件,找到一个,并且进入后台:
http://www.guangzh.12306.cn/Dzsw/downLoad/kfczzzbl.pdf

1.png


帐号:3022205 继续密码:123456 继续进来了

POC

2.png


这次可不是测试账号,实打实的公司账号。。。呵呵,还一分?:

3.png


不深入。。

修复方案

状态信息 2016-02-04: 细节已通知厂商并且等待厂商处理中
2016-02-04: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复企业自己的行为,已通知企业修改密码。
回应信息危害等级:无影响厂商忽略忽略时间:2016-02-04 17:19
Showing 1-5 of 5 items.
评论内容评论人点赞数评论时间

企业的行为??为什么文档是你们写的呢?

随风的风02016-02-04 17:24:00

小心12306不让你以后买票,洞主!

暴走02016-02-04 17:14:00

@残废 我妈从来不打我。。

随风的风02016-02-04 16:49:00

你又装逼 ???? 不怕你妈打你?

残废02016-02-04 16:46:00

前了

奶嘴02016-02-04 16:42:00