HanDs
NO.2

[7月漏洞公开] 用友某重要站点Padding Oracle Vulnerability漏洞可登陆内部系统 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

用友某重点站点Padding Oracle Vulnerability漏洞,泄露某员工账号,可登录包括邮箱、采购等系统,可作为跳板,严重威胁内网

详细说明:

通过burp抓包可越权访问http://i.yonyou.com,造成信息泄露

8.png



利用获取的邮箱,进行找回密码操作,在找回密码第二部页面,存在Padding Oracle Vulnerability漏洞,可以获取敏感信息

1.png



2.png



利用获取到的敏感信息登录邮箱,mail.yonyou.com也能登录

4.png



采购系统

6.png



其他系统

7.png



11.png



12.png



14.png

漏洞证明:

通过burp抓包可越权访问http://i.yonyou.com,造成信息泄露

8.png



利用获取的邮箱,进行找回密码操作,在找回密码第二部页面,存在Padding Oracle Vulnerability漏洞,可以获取敏感信息

1.png



2.png



利用获取到的敏感信息登录邮箱,mail.yonyou.com也能登录

4.png



采购系统

6.png



其他系统

7.png



11.png



12.png



14.png

修复方案:

打补丁呗


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
用友 重要 站点 P ad di ng O ra cl e Vu ln er ab il it y 漏洞 登陆 内部 系统
#1楼
发帖时间:2016-7-19   |   查看数:0   |   回复数:0
游客组