当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2013-041315
漏洞标题:
人人乐购服务器配置不当敏感信息泄漏
相关厂商:
人人乐购
漏洞作者:
盈盈无绪
提交时间:
2013-10-29 15:08
修复时间:
2013-12-13 15:09
公开时间:
2013-12-13 15:09
漏洞类型:
系统/服务运维配置不当
危害等级:
自评Rank:
10
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2013-10-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-12-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

人人乐购 服务器配置不当,敏感信息泄漏

详细说明:

rsync  211.162.125.104::rrl/
drwxrwxr--        8192 2013/10/17 03:00:35 .
-rwxr--r--   487634087 2012/12/10 16:34:40 20121210.rar
-rwxr--r--   493897107 2012/12/18 14:26:31 20121218.rar
-rwxr--r--   498737746 2012/12/26 09:38:53 20121226.rar
-rwxr--r--  1438367915 2013/03/26 18:03:05 Batch.tar
-rwxrwxrwx  5461966999 2013/04/03 22:59:49 WebSite0403.rar
-rwxrwxrwx  5466845020 2013/04/08 22:39:20 WebSite0408.rar
-rwxrwxrwx  5500256474 2013/04/15 22:45:44 WebSite0415.rar
-rwxr--r--  4414065935 2013/03/26 17:48:22 product.gz
-rwxr--r--  2975665828 2013/03/26 18:05:37 product.tar.gz
drwxr--r--           0 2013/06/20 17:38:17 $RECYCLE.BIN
drwxr--r--           0 2013/05/15 11:12:23 Backup
drwxrwxr--        4096 2013/05/15 08:55:21 DeltaCopy
drwxr--r--           0 2013/05/29 14:40:05 ImageSite
drwxrwxr--           0 2013/05/30 03:18:09 System Volume Information
drwxrwxrwx       28672 2013/06/14 13:50:31 WebSite.bak
drwxr--r--       32768 2013/10/28 22:04:27 WebSite
drwxrwxrwx           0 2013/06/14 14:06:21 WebSite0415
drwxr--r--        4096 2012/08/01 16:16:53 app
drwxr--r--        4096 2012/12/26 09:55:59 bak2
drwxr--r--        4096 2012/08/01 16:19:42 client
drwxr--r--    33816576 2013/03/26 15:36:32 product
drwxrwxrwx       65536 2013/08/15 18:04:18 zt


大多数目录有上传文件权限,对win不熟悉,就不浪费时间了。
直接用http://211.162.125.104/ 可以访问到的是ImageSite这个目录下的文件。

漏洞证明:

rsync  211.162.125.104::rrl/
drwxrwxr--        8192 2013/10/17 03:00:35 .
-rwxr--r--   487634087 2012/12/10 16:34:40 20121210.rar
-rwxr--r--   493897107 2012/12/18 14:26:31 20121218.rar
-rwxr--r--   498737746 2012/12/26 09:38:53 20121226.rar
-rwxr--r--  1438367915 2013/03/26 18:03:05 Batch.tar
-rwxrwxrwx  5461966999 2013/04/03 22:59:49 WebSite0403.rar
-rwxrwxrwx  5466845020 2013/04/08 22:39:20 WebSite0408.rar
-rwxrwxrwx  5500256474 2013/04/15 22:45:44 WebSite0415.rar
-rwxr--r--  4414065935 2013/03/26 17:48:22 product.gz
-rwxr--r--  2975665828 2013/03/26 18:05:37 product.tar.gz
drwxr--r--           0 2013/06/20 17:38:17 $RECYCLE.BIN
drwxr--r--           0 2013/05/15 11:12:23 Backup
drwxrwxr--        4096 2013/05/15 08:55:21 DeltaCopy
drwxr--r--           0 2013/05/29 14:40:05 ImageSite
drwxrwxr--           0 2013/05/30 03:18:09 System Volume Information
drwxrwxrwx       28672 2013/06/14 13:50:31 WebSite.bak
drwxr--r--       32768 2013/10/28 22:04:27 WebSite
drwxrwxrwx           0 2013/06/14 14:06:21 WebSite0415
drwxr--r--        4096 2012/08/01 16:16:53 app
drwxr--r--        4096 2012/12/26 09:55:59 bak2
drwxr--r--        4096 2012/08/01 16:19:42 client
drwxr--r--    33816576 2013/03/26 15:36:32 product
drwxrwxrwx       65536 2013/08/15 18:04:18 zt


大多数目录有上传文件权限,对win不熟悉,就不浪费时间了。

修复方案:

你们懂得

版权声明:转载请注明来源 盈盈无绪@乌云

>

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝