漏洞标题 搜狐的内部帐户泄密可以登录到大量内部系统 相关制造商 搜狐 漏洞作者 太郎不好 提交时间 2016-05-11 12: 12 公共时间 2016-06-25 12: 50 漏洞类型 系统/服务操作和维护配置不当 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 缺乏安全意识 漏洞详细信息 0x1这泄露了帐户密码 https://github.com/jackyliusohu/msohucmdb/blob/4b624e2b3068ec08e72c08d55a08f6ac15ef6cbb/msohucmdb/settings.py AUTH_LDAP_BIND_DN='[email protected]/*' AUTH_LDAP_BIND_PASSWORD='Welcome2sohu!' 一个公共账号没用,你可以看看垃圾邮件,VPN无法拨打~~ 继续翻身 https://github.com/lizhengdong/TestAppInstance/blob/cf8fddb1a7f18f730394947b4dd58fd4491c3b11/TestAppInstanceJar/mailInfo.properties 这个实习生为我提供了2套帐户密码。 [电子邮件 保护]/* #sendMailPassword=Welcome2sohu \! [电子邮件 保护]/* sendMailPassword=Abc123456 显然这个家伙还太年轻了。将您公司的帐号更改为Abc123456 [电子邮件 保护]/* Abc123456 显然我进去了。
好吧,程序猿 0X2 拨入VPN的过程安全无压力,建议进行二次验证。或者只对专业人士开放 过来点。 以太网适配器本地连接2: 特定于连接的DNS后缀。 说明。 。 。 Cisco AnyConnect安全移动客户端V. 适用于Windows x64的Irtual Miniport适配器 实际地址。 。 。 00-05-9A-3C-7A-00 DHCP已启用。 。 。没有 自动配置已启用。是的 链路本地IPv6地址。 。 fe80: 853: 53f: 540c: 86a9%20(首选) 链路本地IPv6地址。 。 fe80: 315c: 4d2b: 357d: 63f9%20(首选) IPv4地址。 。 。 10.2.239.253(首选) 子网掩码 。 。 。 255.255.252.0 默认网关 。 。 。 DNS服务器。 。 。 10.2.166.105 10.2.166.106 主WINS服务器。 。 10.1.34.102 通过Tcpip上的NetBIOS。 。已启用 好吧,基本上域控制器无法访问,端口限制也不错,但验证服务器仍然可以访问389 Ldap.sohu-inc.com [10.2.166.21]好吧,你可以输出一个域名信息,然后找到实习男孩的电脑,做一些可耻的事,当然,作为一个正直的男人,我们不会对这个家伙感兴趣我们是还在为晚餐漫游。 0x3 维基
CRM
随便一些内联网域名。
漏洞证明: 修理计划: 1,VPN加二次验证 2. VPN拨入的网段只需要为特定的人提供特定的端口,例如XX MYSQL数据库管理员,然后他只需要在远程办公室工作期间访问网页(查看工单), 3306在他的授权机器上。 3.员工安全培训 版权声明:请注明出处。汕头不好@乌云