破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

盛大某站后台存在简单弱口令可登录

编号78977
Urlhttp://www.wooyun.org/bug.php?action=view&id=78977
漏洞状态厂商已经修复
漏洞标题盛大某站后台存在简单弱口令可登录
漏洞类型
厂商盛大网络
白帽子3King
提交日期2014-10-11 14:20:00
公开日期2014-10-12 13:50:00
修复时间2014-10-12 13:50:00
确认时间2014-10-11 00:00:00
Confirm Spend0
漏洞标签弱口令 后台管理地址对外
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank20
漏洞简介
    但是天下之大,宝穴和刹穴一样稀有,血地更是世间罕有,比一般的龙脉更加难找,到了后来,大量半桶水的风水先生,看到只要是红泥地,就算是一血地了,以至于红泥地下必有古墓,古墓必是大户人家,陪葬丰富,所以才有“血尸护宝”这样的传说。
    在中国近代史上,就有一位极度重要的人物,他的主坟就是血地,当时一位高人设下风水局,为了赶在那一个时间入坟。相传那位人物的爷爷,甚至可能不是正常死亡。
    这位人物后来的地位权倾天下,但是正如风水术数中所说,煞气太重,自己的直系亲属,基本上都死绝了。
    因为血地其假参半,而且假者居多,所以当时老头子才会冒险下铲,图一个侥幸,没想到这一铲子下去就挖出了一个真家伙来。
漏洞细节

盛大某站后台存在弱口令。
http://61.172.247.30:8083/ admin:admin

POC

4.jpg


5.jpg

修复方案

·更改密码

状态信息 2014-10-11: 细节已通知厂商并且等待厂商处理中
2014-10-11: 厂商已经确认,细节仅向厂商公开
2014-10-12: 厂商已经修复漏洞并主动公开,细节向公众公开
厂商回复看完你的描述我都醉了。。
感谢3king对盛大安全的关注。
回应信息危害等级:高漏洞Rank:20 确认时间:2014-10-11 14:23
Showing 1-32 of 32 items.
评论内容评论人点赞数评论时间

@狂人 别闹

盛大网络02014-11-05 16:08:00

没入场的赶快了,门票:999999999Rank,顺便出售爆米花,瓜子!

狂人02014-11-05 15:17:00

这么吊,出了好几个盛大网络的漏洞 盛大的工程师是干啥去了?

05XS02014-10-27 12:54:00

这个报告带个各厂商工程师和白帽子们无尽的快乐呀@途牛旅游网 其实我的灵感 来自对我自己的渗透构思 然后引申到我网络之外 就成通病的报告了

大漠長河02014-10-13 10:23:00

@Wangl 那么问题来了,到底谁干了。。。

char02014-10-13 10:19:00

@char 我可啥也没干,不信你问 @途牛旅游网 。

Wangl02014-10-13 09:56:00

@Wangl 你好,途牛快递。

char02014-10-13 09:39:00

@途牛旅游网 我不会告诉你,你们主库的IP是10.10.0.99,数据库连接用户名是RW_tuniu,哈哈。。。。。

Wangl02014-10-13 09:36:00

@途牛旅游网 途牛,你怎么学盛大一样调皮?目测过几天“安全接口人已被开除”。

char02014-10-13 09:25:00

@途牛旅游网 又不是没进过,在里面帮你们脱掉内裤就出来了,留给后人叉叉去

Bloodwolf02014-10-13 00:59:00

@途牛旅游网 @盛大网络 这是华山论剑的节奏吗~

红客十年02014-10-12 21:03:00

出售可乐/板凳.

实习白帽子02014-10-12 20:50:00

开始了开始了 前排瓜子一级准备!~

子非海绵宝宝02014-10-12 20:43:00

@途牛旅游网 好大口气哈

盛大网络02014-10-12 20:36:00

@Bloodwolf 给你内网拓扑图又能怎样?先进到内网在说吧!

途牛旅游网02014-10-12 19:48:00

@盛大网络 @途牛旅游网 求不查水表,把你们内网的拓扑图丢出来可好!---------------------------------------------------- 专注挖坑画拓扑35年

Bloodwolf02014-10-12 17:14:00

@盛大网络 我想说那个命令执行的你们没修复么?

大白菜02014-10-12 15:21:00

@盛大网络 @途牛旅游网 你们两个好有爱……

从容02014-10-12 15:15:00

@途牛旅游网 别闹

盛大网络02014-10-12 15:12:00

放开他们,冲我来!

途牛旅游网02014-10-12 15:11:00

....。。工具好 字典好~ 段位好, 三合一

大白菜02014-10-12 15:08:00

说到挖 问题就来了

Black Angel02014-10-12 14:58:00

你们没有发现这个描述很隐晦的说某人嘛. 感觉太不和谐了,如果被查水表.

实习白帽子02014-10-12 14:19:00

@大漠長河 不是我写的 =。= 摘自盗墓笔记

3King02014-10-11 15:37:00

看来我这个写小说的要失业了 盛大工程师只是看醉了 我都看睡了 洞穴(BUG) 僵尸(僵尸网络),,还真有点韵味 虽然是弱口令没什么说的 但是这文笔值得收藏 小说素材 拿走备用@金坷垃 WOOHOO漏洞报告还是严谨点好

大漠長河02014-10-11 15:23:00

@3King 以后发漏洞严谨点

盛大网络02014-10-11 14:43:00

漏洞挖掘哪家强?

金坷垃02014-10-11 14:36:00

但是,如果大家一块去挖掘的话,工具和技术是个考验,那么现在问题来了……

刺刺02014-10-11 14:29:00

哈哈哈

niliu02014-10-11 14:27:00

@疯狗 盗笔 (´・_・`) 盛大不是求挖掘么。。 我就去挖了一铲子

3King02014-10-11 14:24:00

有种小说的即视感

子非海绵宝宝02014-10-11 14:23:00

洞主这是盗墓笔记啊还是鬼吹灯?

疯狗02014-10-11 14:20:00