乐视网多个内部员工账户外泄导致内网漫游

能否来个闪电 呢

先来个靓照提提神：

 

 

乐视网账户体系不严引发的悲剧。通过一个弱口令就撸穿了内网各大系统。上线系统、jira、wiki、宙斯系统、报表平台、上线发布系统、运营后台汇总、新天脉上传系统、自动部署平台等等。各种目录遍历看到了某服务器的RSA密钥、公司全员的邮箱含CEO、可操作线上项目……

首先轻松拨入了VPN，不要问我怎么拿到的哈哈：)

https://vpn.le.com/

yubingjie

123qwe!@#

 

 

 

 

 

 

然后内网扫了下 有N多系统。

 

 

乐盟内部办公系统：

http://www.lecommons.com/portal/letv

 

 

 

 

 

 

宙斯系统：

http://us.i.shop.letv.com/

 

 

运营后台汇总页：

http://ht.letv.cn/

 

 

 

 

新天脉上传系统可观看277万视频：

http://10.181.153.72:28080/search1/search.do

 

 

 

 

上线发布系统：

http://release.letv.cn/user/login.do#

 

 

报表平台：

http://statistics.letv.cn/

 

 

 

 

集团内网：

http://aws.leshiren.cn/

 

 

sarr海外实时推荐：

http://107.155.53.144/

 

 

自动化部署平台，可操控线上项目：

http://deploy.letv.cn/

 

 

 

 

jira研发管理：

http://jira.letv.cn/

 

 

wiki：

http://wiki.letv.cn/

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

一堆目录遍历：

http://cm.letv.cn/

http://10.140.60.134/phpmyadmin/

http://cd.letv.cn/

http://svn2.letv.cn/

 

 

 

 

 

 

各种配置信息：

 

 

各种日志：

 

 

 

 

 

 

 

 

npm：

http://npm.letv.cn/

 

 

crowd：

http://crowd.letv.cn/

 

 

SVN系统：

http://svn2.letv.cn/tp/

 

 

 

 

各种敏感后台禁止访问的黑名单：

http://svn2.letv.cn/tp/lecloud/bs/off/trunk/offline/blacklist

 

 

jenkins系统：

http://ci.letv.cn/

 

 

 

 

超级视频监控配置：

 

 

代码共享平台：

http://svnweb.letv.cn/

 

 

redmine系统：

http://prj.letv.cn/

 

 

如上好多图

解决方案：

持续教育