欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

程序员文章站 2022-04-07 09:39:25
RT 大表哥们如何倒出outlook呢? 很难过的错过了一次内网漫游的机会。深夜提交也是醉了。 麻烦管理帮忙打码 1.svn 泄露引起来的 http://139.196.36.217/....

RT 大表哥们如何倒出outlook呢? 很难过的错过了一次内网漫游的机会。深夜提交也是醉了。

麻烦管理帮忙打码

1.svn 泄露引起来的

http://139.196.36.217/.svn/entries

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

也就是这个页面

http://pt.ztgame.com/

这里信息不多,然后就想既然看到了这个页面就去找找历史纪录

翻翻厂商历史记录

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

这里就是我们可爱的突破口,历史记录看来厂商的邮箱弱口令是 [email protected]

tianhua [email protected]

然后就有了下面大量的帐号信息,可以登录must系统 这个过程比较兴奋以为可以登录vpn 不禁的喜出望外的yy了下

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

outlook登录我就开始翻vpn之旅 还有敏感信息之旅,其实这里能够翻到很多敏感信息,但是重点我还是希望翻到vpn 这样好内网,我很天真。

这里是好多默认密码登录是让重置密码的,这里道歉下为了找到敏感信息,只是为了测试,所以更改了密码多有得罪和冒犯海涵。

CF0邮箱,如果比

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

较高权限的邮箱如果后期渗透还是可以利用发送给管理员的。

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

CTO 办公室公共邮箱

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

比较有意思的是 这个邮箱注册了个苹果ID 我们其实是可以重置密码的通过邮箱,但是我没继续操作,如果重置登录iCloud 会不会看到好多信息呢,定位,皂片 。

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

微信邮箱

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

VIP-HR 邮箱账号 里面大量人才信息

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

支付宝账号 看到用户消费信息的喔 1w多封邮件

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

一些其他账号也有很多敏感信息

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

最后我崩溃的地方,他们应该是做了vpn限制,也就是本地的令牌系统所以vpn这条路我是走不通了,不过对于厂商来说确实是做的不错。

 

巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露

 

看到这里我也就没继续翻下去了,其次就是比较年轻竟然为了找敏感信息修改了部分账户密码,不过也点到为止了。

厂商及时修改下,对改密码的账户十分抱歉

修改密码的

songshiliang-dev 密码:[email protected]@ztgame

gavc_webmaster [email protected]@ztgame

juren456 [email protected]@ztgame

tiequan1 [email protected]@ztgame

xuzhongle [email protected]@ztgame

anzhenfang [email protected]@ztgame

[email protected] [email protected]@ztgame

kfqa [email protected]@ztgame

未修改密码默认密码 [email protected]

tiequan2

tiequan3

tiequan4

lichunfeng

lihao

Lync_gongyuanping

zhifubao01

FM

fanyao

gaowei-dev

tianhua

VIP-HR

jazy.zhang-dev

解决方案:

IT 可以把没有修改密码的用户进行禁用。

可以看到现在的密码规则是比较强的。