HanDs
NO.2

[7月漏洞公开] 东方航空某系统漏洞(数千万机票订单信息/每天数万实时机票订单信息/控制民航短信号发诈骗短信续集) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

我其实是为了等sqlmap跑完注入点,才去测试的,不好意思哈。

详细说明:

其实破解很简单,就是去用这里面漏洞所公开的用户名一个一个的去试弱口令。

code 区域
 WooYun: 航空信息安全之东方航空某系统漏洞(数千万机票订单信息/每天数万实时机票订单信息/控制民航短信号发诈骗短信续集) 





http://ceagent.ceair.com/ceagent/security/login!authBackFailure.shtml



找到两枚弱口令,其中一枚权限比较大。

wangxi WANGXI123 已改为WANGXI123@,不好意思了

wupeng WUPENG123 已改为WUPENG123@



QQ截图20160525195013.png

QQ截图20160525195347.png

漏洞证明:

QQ截图20160525195013.png

QQ截图20160525195347.png



QQ截图20160525195853.png

很多用户信息,而且实时更新。

QQ截图20160525195804.png

QQ截图20160525200510.png

修复方案:

修复弱口令


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
东方胶娇 陈┒
#1楼
发帖时间:2016-7-11   |   查看数:0   |   回复数:0
游客组