频道栏目
首页 > 安全 > 网站安全 > 正文

安全漏洞进入搜房网大量内部系统(可修改线上官网、APP内容、影响业务)

2015-05-30 10:00:04         来源:WooYun  
收藏   我要投稿

进入搜房网内部系统(可修改线上官网内容)

首先是猥琐地进入邮箱

[email protected]

密码zhangyajie123

然后重置搜房网内网密码,说是内网,其实还是外网的内部系统

http://home.www2.fang.com/

账号体系在内部叫“一键通”,其实就是单点登录

然后这个账号的权限是论坛后台和新闻发布后台、业主圈管理后台
 

5ABEA9DD-7ABF-4997-A367-427C0FFE04D9.png




AD8BD947-A3C3-4837-AC03-13EBDAA460AA.png


第二是[email protected]

密码liuchang123
 

785667F4-C5D3-412A-BEF8-E9849550F4AB.png


这个权限不同,so,也重置密码。进入了内部单点系统,是一个更高权的用户
 

3147D367-4709-4A7C-B999-84BD4FE87FD1.png


发发新闻,写写软广什么的。。
 

5C3C0013-A182-4D82-A40A-6521828324A0.png


OK,next one

[email protected]

密码lishulan123

还发现一个内部OA挺有搞头,http://work.fang.com 搜房办公系统V2.0
 

7EE82247-D524-4BAF-A621-5165D17CFB50.png


最后一个[email protected] 密码luoxu123

一样的,不说了。

内部很多系统对上传没做检查的,shell内网漫游无阻,不过没去做。

解决方案:

过滤

上一篇:Web管理员注意:Robots.txt可透露有价值的信息给黑客
下一篇:p2p金融安全之搜易贷某处严重逻辑漏洞(影响用户资金安全)
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站