漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
中国农业大学某站后台弱口令/可进一步进入资源管理系统
相关厂商:
漏洞作者:
提交时间:
2016-05-02 21:53
修复时间:
2016-05-09 09:00
公开时间:
2016-05-09 09:00
漏洞类型:
后台弱口令
危害等级:
低
自评Rank:
5
漏洞状态:
漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2016-05-02: 细节已通知厂商并且等待厂商处理中
2016-05-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
配置不当
详细说明:
首先我们找到的是一个PHP探针:
http://www.cau-edu.com/
测试默认密码后,发现连接正常。
Myphpadmin数据库连接弱口令
数据库管理地址:http://www.cau-edu.com/phpMyAdmin/
弱口令root/root
![]J[@)5X0V{J8L{TD~G$6L1X.png](https://img.wooyun.laolisafe.com/upload/201604/30195323a2be40c146db8e574315441d9bb80d6c.png)
根据数据库里的一些网址发现是连接中国农业大学主站的,数据库x2_user表字段数据,测试可以进入网上农大课件资源管理平台。
使用帐号为admin的,成功登入。
![]]$%}}0PHO}N1I]`MLNX`31.png](https://img.wooyun.laolisafe.com/upload/201604/3019582634bf99006167bbfceee3d9bfaa57a194.png)
漏洞证明:
首先我们找到的是一个PHP探针:
http://www.cau-edu.com/
测试默认密码后,发现连接正常。
Myphpadmin数据库连接弱口令
数据库管理地址:http://www.cau-edu.com/phpMyAdmin/
弱口令root/root
根据数据库里的一些网址发现是连接中国农业大学主站的,数据库x2_user表字段数据,测试可以进入网上农大课件资源管理平台。
使用帐号为admin的,成功登入。
修复方案:
数据未更改,请修改密码。
版权声明:转载请注明来源 Time_泽~少@乌云
>
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2016-05-09 09:00
厂商回复:
最新状态:
暂无