巨人网络员工N多邮箱密码弱口令导致大量敏感信息泄露
RT 大表哥们如何倒出outlook呢? 很难过的错过了一次内网漫游的机会。深夜提交也是醉了。
麻烦管理帮忙打码
1.svn 泄露引起来的
http://139.196.36.217/.svn/entries
也就是这个页面
http://pt.ztgame.com/
这里信息不多,然后就想既然看到了这个页面就去找找历史纪录
翻翻厂商历史记录
这里就是我们可爱的突破口,历史记录看来厂商的邮箱弱口令是 [email protected]
tianhua [email protected]
然后就有了下面大量的帐号信息,可以登录must系统 这个过程比较兴奋以为可以登录vpn 不禁的喜出望外的yy了下
outlook登录我就开始翻vpn之旅 还有敏感信息之旅,其实这里能够翻到很多敏感信息,但是重点我还是希望翻到vpn 这样好内网,我很天真。
这里是好多默认密码登录是让重置密码的,这里道歉下为了找到敏感信息,只是为了测试,所以更改了密码多有得罪和冒犯海涵。
CF0邮箱,如果比
较高权限的邮箱如果后期渗透还是可以利用发送给管理员的。
CTO 办公室公共邮箱
比较有意思的是 这个邮箱注册了个苹果ID 我们其实是可以重置密码的通过邮箱,但是我没继续操作,如果重置登录iCloud 会不会看到好多信息呢,定位,皂片 。
微信邮箱
VIP-HR 邮箱账号 里面大量人才信息
支付宝账号 看到用户消费信息的喔 1w多封邮件
一些其他账号也有很多敏感信息
最后我崩溃的地方,他们应该是做了vpn限制,也就是本地的令牌系统所以vpn这条路我是走不通了,不过对于厂商来说确实是做的不错。
看到这里我也就没继续翻下去了,其次就是比较年轻竟然为了找敏感信息修改了部分账户密码,不过也点到为止了。
厂商及时修改下,对改密码的账户十分抱歉
修改密码的
songshiliang-dev 密码:[email protected]@ztgame
gavc_webmaster [email protected]@ztgame
juren456 [email protected]@ztgame
tiequan1 [email protected]@ztgame
xuzhongle [email protected]@ztgame
anzhenfang [email protected]@ztgame
[email protected] [email protected]@ztgame
kfqa [email protected]@ztgame
未修改密码默认密码 [email protected]
tiequan2
tiequan3
tiequan4
lichunfeng
lihao
Lync_gongyuanping
zhifubao01
FM
fanyao
gaowei-dev
tianhua
VIP-HR
jazy.zhang-dev
解决方案:
IT 可以把没有修改密码的用户进行禁用。
可以看到现在的密码规则是比较强的。