漏洞详情

披露状态:

2014-09-21: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-11-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

一汽大众微信公众号绑定的服务器数据库存在弱口令导致服务器沦陷,进一步可以控制微信公众号信息

详细说明:

现在微信公众平台可以让开发者绑定自己的服务器进行平台信息的处理,或者通过一些图文连接跳转到自己服务器上进行一些信息的展示。但由于这些入口相对隐蔽,所以许多问题都被忽视掉了。

8.png


进入一汽大众公众号

1.png


选择一下车型信息,发现跳转到一个连接,选择用ie打开

2.png


3.png


我们发现一个服务器地址
随便在后面加一个phpmyadmin发现可以访问,试下root root密码错误,root dazhong进去了

4.png


直接写一个一句话木马到服务器

5.png


顺便访问了下首页只有一个登录按钮

6.png


试了下dazhong dazhong 又进去了

7.png


像是一个公众号的管理平台,能改自动回复,文章什么的,还是有一定影响的吧,毕竟是官方微信

漏洞证明:

5.png

修复方案:

修改密码

标签: none

评论已关闭