哔哩哔哩某系统涉及员工账户信息

编号217481
Urlhttp://www.wooyun.org/bug.php?action=view&id=217481
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题哔哩哔哩某系统涉及员工账户信息
漏洞类型敏感信息泄露
厂商bilibili.com
白帽子路人甲
提交日期2016-06-11 12:47:00
公开日期2016-06-12 12:20:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签敏感信息泄露
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank0
漏洞简介
RT
漏洞细节

从逛知乎到登录bilibili主站后台(可审核视频/设置推广位)(后台被搜索引擎索引/TOTP形同虚设) | WooYun-2016-208539 | WooYun.org
WooYun: 从逛知乎到登录bilibili主站后台(可审核视频/设置推广位)(后台被搜索引擎索引/TOTP形同虚设)


一看端端就是社工大牛,结合邮箱和web,杀伤力太大


POC

从上面的漏洞,我们可以得知账号


2.jpg


1.jpg


在社工库里有个账号:


用户名/账号	邮箱	密码/密文	Salt	来源
haojie0114 [email protected] ff40306600c4871484ba18475bcd6b68:7a0445 tgbus


其中[email protected]是哔哩的员工邮箱,cmd5解密为9952shen


然后直接去登陆126邮箱看看


1.jpg


提示登陆失败,然后直接去找回密码试试


1.jpg


1.jpg


1.jpg


问题:您的家乡是?


通过百度,谷歌搜索引擎等一番查找,没找到“陆浩杰”家乡在哪,然后就去猜答案。


1.jpg


答案就是:江苏


1.jpg


可以看到,可以重置该邮箱的密码 了

1.jpg


1.jpg


密码:wooyun-test


账号:[email protected]


1.jpg


1.jpg


2.jpg


3.jpg


4.jpg


1.jpg


可以重设该手机的apple id密码了


密码Wooyun-test1


里面肯定有大量的隐私和公司内部情况啥的,就不干坏坏的事了


1.jpg


感谢您注册今目标!
您的管理员帐号已激活,
登录帐号:[email protected]
邮箱地址:[email protected](可作为登录帐号使用)
密码为您注册时设置的
登录链接:http://web.jingoal.com/mgt?locale=zh_CN


继续找回密码登陆


1.jpg


1.jpg


登录帐号:[email protected]
密码:Wooyun-test1


1.jpg


是这个网站的管理员账号


考勤记录


1.jpg


1.jpg


1.jpg


1.jpg


前面还有个账号
用户名:[email protected]
密码:5211314wc


1.jpg


由于该账号业务太多,很多网站的密码还是同样的弱口令,可以照常登陆,例如:csdn、YY、58、盛大在线、锤子数码、音悦网等


1.jpg


1.jpg


1.jpg


1.jpg


1.jpg


修复方案

提供安全意识,同一个网站不要使用相同的密码
不要设置一些公开的密保问题

状态信息 2016-06-11: 细节已通知厂商并且等待厂商处理中
2016-06-12: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复漏洞存在但是与公司网络安全无关
回应信息危害等级:无影响厂商忽略忽略时间:2016-06-12 12:20
Showing 1-1 of 1 item.
评论内容评论人点赞数评论时间

请深入点测试以可以证明黑到公司资料或内网等

上海哔哩哔哩动画有限公司02016-06-12 12:23:00