由查资料沦陷秒针内部系统(涉及几千家大型企业广告监测)

2016-02-18 2,668
漏洞标题 由查资料沦陷秒针内部系统(涉及几千家大型企业广告监测)
相关厂商 miaozhen.com
漏洞作者 0x0d
提交时间 2015-11-29 16:10
公开时间 2016-01-14 13:24
漏洞类型 账户体系控制不严
危害等级
自评Rank 1
漏洞状态 厂商已经确认
Tags标签 gitlab

漏洞详情

查资料的时候看到个有趣的东西:

QQ20151129-20@2x.png

打开一看是 秒针 的 gitlab,还可以注册:

QQ20151129-13@2x.png

几个核心系统的源码都在里面。。

(求帮忙打码。。。)

找了下数据库:

<!-- 基础信息数据库 -->

*****//h155.mzhen.cn:3306/monitor_*****
*****lue="supertool&q*****
*****lue="supertool&q*****

<!-- 指标数据库 -->

*****c:postgresql://h155.mzhen*****
*****; value="dtv&q*****
*****lue="psql123456&*****
**********
*****jdbc:postgresql://114.112.8*****
***** value="mango&quot*****
***** value="mango&quot*****
**********
*****标数据*****
*****c:postgresql://114.112.89*****
*****value="mango&qu*****
*****value="mango&qu*****
**********
*****s="org.pos*****
*****dbc:postgresql://h1*****
*****rId="*****
*****d="1234*****
*****nnecti*****
**********
*****//wj10.mzhen.cn:3306/monitor_*****
*****lue="monitor_dtv*****
*****e="monitor_dtv_p&*****
**********
**********
*****ot;jdbc:postgresql://1*****
*****e" value=&q*****
*****quot; value=&quot*****
**********
*****SER*****
*****c4b6f610170*****
1.://**.**.**//api.mzhen.cn/monitor/v1/target/show_
**********
**********
2.://**.**.**//task.mzsvn.com&
*****0b9078a5c860abe*****

# aceess server
ACCESS_SERVER = http://access.miaozhen.com
# monitor server
AD_MONITOR_SERVER = http://admonitor.miaozhen.com
TV_MONITOR_SERVER = http://tvmonitor.miaozhen.com

# area flag
AREA_FLAG=CN

*****anag*****
1.://**.**.**//62.mzhen.cn:9527/tv_rerun/_
*****ER = t*****
*****D = tv*****

几千家企业的账户和亿级的日志:

QQ20151129-21@2x.png

在用户表里找到了300多个 @miaozhen.com 后缀的邮箱,

虽然密码加密方式未知,但是收集员工邮箱后一路爆破……

QQ20151129-17@2x.png

QQ20151129-18@2x.png

QQ20151129-14@2x.png

QQ20151129-16@2x.png

QQ20151129-11@2x.png

QQ20151129-9@2x.png

QQ20151129-15@2x.png

QQ20151129-0@2x.png

QQ20151129-7@2x.png

QQ20151129-6@2x.png

QQ20151129-2@2x.png

QQ20151129-4@2x.png

QQ20151129-1@2x.png

漏洞证明:

QQ20151129-3@2x.png

修复方案:

敏感系统不要对外网开放

加验证码

版权声明:转载请注明来源 0x0d@乌云

Tags:
评论  (0)
快来写下你的想法吧!

Chloe O_o

文章数:38601 积分: 0

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号