漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
中彩网论坛某问题涉及400W用户信息含密码
相关厂商:
漏洞作者:
提交时间:
2016-01-19 18:47
修复时间:
2016-01-21 13:58
公开时间:
2016-01-21 13:58
漏洞类型:
系统/服务运维配置不当
危害等级:
高
自评Rank:
20
漏洞状态:
厂商已经修复
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2016-01-19: 细节已通知厂商并且等待厂商处理中
2016-01-20: 厂商已经确认,细节仅向厂商公开
2016-01-21: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
这个问题有点意思
详细说明:
问题是在memcache上面,开了11211端口
漏洞证明:
默认连接182.92.192.240 : 11211记录总数:1407685由于memcached源码对cachedump命令的限制,最多遍历2M的key
连接一下。
找到账号,用的是管理员邮箱:
进入
这里只需要找到一个管理的登陆记录就可以了,剩下的我就不找了。此处漏洞直接可以获取到所有用户登陆密码.
如果说缓存里面没有管理的IP,只需要定时刷新就可以了。等着管理员登陆,可以直接列出用户所有信息。
拖库可以直接拖,方便太多。(我没有拖库,可查记录)
修复方案:
限制IP
版权声明:转载请注明来源 艺术家@乌云
>
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2016-01-20 08:57
厂商回复:
确认漏洞
最新状态:
2016-01-21:修复