巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

RT 大表哥们如何倒出outlook呢? 很难过的错过了一次内网漫游的机会。深夜提交也是醉了。

麻烦管理帮忙打码

1.svn 泄露引起来的

http://139.196.36.217/.svn/entries

 

 

也就是这个页面

http://pt.ztgame.com/

这里信息不多，然后就想既然看到了这个页面就去找找历史纪录

翻翻厂商历史记录

 

 

这里就是我们可爱的突破口，历史记录看来厂商的邮箱弱口令是 [email protected]

tianhua [email protected]

然后就有了下面大量的帐号信息，可以登录must系统 这个过程比较兴奋以为可以登录vpn 不禁的喜出望外的yy了下

 

 

 

 

 

 

outlook登录我就开始翻vpn之旅 还有敏感信息之旅，其实这里能够翻到很多敏感信息，但是重点我还是希望翻到vpn 这样好内网，我很天真。

这里是好多默认密码登录是让重置密码的，这里道歉下为了找到敏感信息，只是为了测试，所以更改了密码多有得罪和冒犯海涵。

CF0邮箱，如果比

 

 

较高权限的邮箱如果后期渗透还是可以利用发送给管理员的。

 

 

CTO 办公室公共邮箱

 

 

 

 

比较有意思的是 这个邮箱注册了个苹果ID 我们其实是可以重置密码的通过邮箱，但是我没继续操作，如果重置登录iCloud 会不会看到好多信息呢，定位，皂片 。

 

 

 

 

微信邮箱

 

 

VIP-HR 邮箱账号 里面大量人才信息

 

 

支付宝账号 看到用户消费信息的喔 1w多封邮件

 

 

一些其他账号也有很多敏感信息

 

 

 

 

 

 

最后我崩溃的地方，他们应该是做了vpn限制，也就是本地的令牌系统所以vpn这条路我是走不通了，不过对于厂商来说确实是做的不错。

 

 

看到这里我也就没继续翻下去了，其次就是比较年轻竟然为了找敏感信息修改了部分账户密码，不过也点到为止了。

厂商及时修改下，对改密码的账户十分抱歉

修改密码的

songshiliang-dev 密码：[email protected]@ztgame

gavc_webmaster [email protected]@ztgame

juren456 [email protected]@ztgame

tiequan1 [email protected]@ztgame

xuzhongle [email protected]@ztgame

anzhenfang [email protected]@ztgame

[email protected] [email protected]@ztgame

kfqa [email protected]@ztgame

未修改密码默认密码 [email protected]

tiequan2

tiequan3

tiequan4

lichunfeng

lihao

Lync_gongyuanping

zhifubao01

FM

fanyao

gaowei-dev

tianhua

VIP-HR

jazy.zhang-dev

解决方案：

IT 可以把没有修改密码的用户进行禁用。

可以看到现在的密码规则是比较强的。