皮皮精灵管理员信息泄漏已入后台下载

来源:黑吧安全网 浏览:1303次 时间:2014-04-28
做网站找雨过天晴工作室

皮皮精灵!我们又见面了~看了你们的漏洞修复的完全无缝,感觉你们很注重安全,这是一个非常好的现象,但不知不觉我又进入了你们的两个后台,一个是皮皮精灵管理中心,一个就是Discuz!,这次就不是什么注入漏洞了,而是你们员工的密码问题了!

--------------------------------------------------------------------------------------------------------------------------

#1.由于当今的网络安全尚不成熟,某些网站管理员对网站安全不够注重,导致大量网站的数据库被黑客拖走,比如:CSDN、人人网、天涯社区、51CTO的裤子等等,这些数据库从而在网上流传起来,某些黑客则把这些数据库集中起来,然后通过Web形式的查询系统可以从这些数据库中查询任意内容,这样就形成了社工库。而正因为某些人为了方便记忆,或者习惯在多个网站中使用同一个密码,这样就导致了某些人的密码遭受泄漏。

看完皮皮精灵的漏洞史,我不由的叹道,某几位管理员的密码不够成熟啊!下面我们来看看第一个后台:

 

http://www.pp.cc/manage/home



通过上次我对你们提交的那个忽略的漏洞,我们整理出了这么几个账号:

 

king-t
caocl
ajiong
xman1985
xka2013
Nightyang
xyzhou520
spring0220
westwest2015
leit
carter0314



A.密码泄漏问题:

只是很可惜,绝大多帐号比较普遍,社工起来比较难,然后一个一个通过社工库查询了一下,社工库网址[PS:这可不是我搭建的,网络上开放的]:

 

http://www.594sgk.com/s/
http://shegongku.org/passwd/
http://www.sojb.pw/



我们看看“carter0314”这个帐号,通过社工库的查询如下:

看来这位朋友在天涯也注册过号,在7k7k也玩过小游戏。然后我通过社工库查询到的密码登录皮皮精灵的后台,然后就悲剧了!

B.帐号弱口令行为

通过对上面多个帐号进行社工,由于某些帐号的样子太普遍难以查到,最后干脆试试弱口令或者帐号密码一样的朋友,最后“xka2013”同志中招了,没想到这位同志的帐号密码居然一样啊,又成功地登录了一个管理员的帐号。如下图:

从上面总结出:一种是管理员习惯使用相同的帐号和密码,并且在别的已经泄漏数据库的网站注册过,从而进入了后台,另一种则是弱口令的行为,例如:帐号密码一样、123456、单纯的出生年月日、域名+出生年、域名+当前年份等。

我们再来看看另一个后台是怎么社工进去的!

第二个后台(可能有危机):

 

http://web.youxipai.com/bbs/forum.php



厂商看起来可能觉得这是刚刚讨论建设的论坛,但是往往小的疏忽可能会带来大的危害,从发的帖子来卡管理员的帐号有哪些:

 

kingsjj
feisg



然后试着登录,结果发现“kingsjj”的密码是“123456”。PS:由于太弱改成了"server"

但是这个帐号无法进入后台,后来就想肯定不是创始人的,而是被赋予的管理员,然后通过遍历id为1的帐号,发现创始人是"pader",因为当前也是管理员,所以可以看到创始人的邮箱,而非该权限则看不到创始人的邮箱。

其实在前面提交那个皮皮精灵sql注入的时候,我先是从这个论坛开始找思路的,本来这个漏洞应该先发的。但是后来还是迅速提交了那个高危害的漏洞,其实我们社工一下这个管理员:

看的出,这个管理员习惯使用“pader_net”、“pader2009”、“eyangpei”来作密码,于是尝试通过去登录Discuz!可是无法登录,怎么办?其实说到这特别巧,那天正好找到皮皮精灵注入漏洞的时候注入出pader的帐号,然后就尝试可不可能是那个密码呢?最后居然成功的登录了:

这个创始人还可以进入后台呢~

[1] [2]  下一页