### 简要描述:
泄露各种企业内部信息
### 详细说明:
学校搞了个计算机比赛、赞助商好像是重庆用友超客子公司什么的
比赛得了倒数第二,很不爽。。。
http://upesn.com 用友企业空间
首先注册一个帐号、然后点击忘记密码进行找回
[<img src="https://images.seebug.org/upload/201511/2522044554c39de8a61bcb5248efe455468fb928.png" alt="图片1 1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/2522044554c39de8a61bcb5248efe455468fb928.png)
接着会收到一封邮件,有找回密码链接,点击进入
在重置密码时候截取数据包,把自己的邮箱地址修改为需要重置的账号即可
[<img src="https://images.seebug.org/upload/201511/2521560089fb53b47468104c9717de37c1ad9788.png" alt="图片 1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/2521560089fb53b47468104c9717de37c1ad9788.png)
信息收集到管理员邮箱地址、并重置、然后登录、随意翻了下
例如全部用户信息
[<img src="https://images.seebug.org/upload/201511/252202333afb3cbb5f3396b1ec47309ebda86a74.png" alt="屏幕快照 2015-11-25 下午10.00.18.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/252202333afb3cbb5f3396b1ec47309ebda86a74.png)
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201511/252205451c07e44fe1b05b888389b8728df0d69e.png" alt="屏幕快照 2015-11-25 下午9.57.55.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201511/252205451c07e44fe1b05b888389b8728df0d69e.png)
京公网安备 11010502034610号
暂无评论