漏洞详情

披露状态:

2014-10-24: 细节已通知厂商并且等待厂商处理中
2014-10-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

itools.cn一台监控服务器使用了MongoDB数据库,但是没做限制,可以直接访问,数据表里存在itools.cn的所有HOST,还有管理员的用户名和密码.

详细说明:

itools.cn一台监控服务器使用了MongoDB数据库,但是没做限制,可以直接访问,数据表里存在itools.cn的所有HOST,还有管理员的用户名和密码,密码是普通的MD5加密,弄到CMD5上一跑,密码就出来了,而后测试了所有的HOST,有几台是管理后台,用测试出来的用户名密码登陆这些管理后台,均可登陆.而且是系统管理员权限,还有几个系统管理员的密码是123456这种简单密码.

漏洞证明:

数据库IP地址:118.26.152.185
管理员用户名:wangxj
管理员密码:jsge2rmq
后台地址:http://118.26.145.93/
http://118.26.145.73:8080/
http://118.26.152.185/
http://118.26.145.87:82/index.php?r=admini/public/login

图片1.jpg


QQ图片20141024154030.jpg


替换图片.jpg

修复方案:

数据库做访问限制,修改弱口令,管理后台限制访问,管理员以及员工开展自查,包括QQ,邮箱等,以防被社工.

标签: none

评论已关闭