当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104239

漏洞标题:某省公共缴费平台漏洞合集(可shell)

相关厂商:山东省电子商务综合运营管理有限公司

漏洞作者: 火焰真菌

提交时间:2015-03-30 12:27

修复时间:2015-05-18 14:20

公开时间:2015-05-18 14:20

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-30: 细节已通知厂商并且等待厂商处理中
2015-04-03: 厂商已经确认,细节仅向厂商公开
2015-04-13: 细节向核心白帽子及相关领域专家公开
2015-04-23: 细节向普通白帽子公开
2015-05-03: 细节向实习白帽子公开
2015-05-18: 细节向公众公开

简要描述:

某省公共缴费平台漏洞合集,任意手机号注册、短信轰炸,个人信息泄露、拿shell

详细说明:

某省公共缴费平台:
www.elifepay.com.cn

首页.GIF


1:任意手机号码注册
点击注册:随便填写手机号码、密码、手机验证码

注册页面.GIF


提交时抓包,并截取修改返回的false为true。注册成功。

抓取注册包.GIF


修改注册包.GIF


注册成功:

登陆.GIF


2:短信轰炸
在上面注册时在获取手机验证码时抓包。

短信轰炸.GIF


userid就是手机号,因没有时间及次数限制,可无限次发送。

短信.jpg


3:个人信息:
该平台提供水费、电费、燃气费、通信费用的查询,查询页面虽然有验证码,但鸡肋。

燃气费查询页面.GIF


以燃气费查询为例:此时随便输入缴费户号,抓包发现先进行验证码的验证,然后进行户号查询。

燃气查询只先验证码.GIF


燃气查询再进行用户查询.GIF


此时userNO就是刚才输入的户号,可批量查看用户名称、家庭住址等信息

批量查询用户信息.GIF


水费貌似如果用户不欠费就不显示个人信息,话费的话只能呵呵了,查查那个土豪在用牛x号码
4:struts S2-019

struts2漏洞.gif


root权限,命令执行

命令执行.GIF


漏洞证明:

某省公共缴费平台:
www.elifepay.com.cn

首页.GIF


1:任意手机号码注册
点击注册:随便填写手机号码、密码、手机验证码

注册页面.GIF


提交时抓包,并截取修改返回的false为true。注册成功。

抓取注册包.GIF


修改注册包.GIF


注册成功:

登陆.GIF


2:短信轰炸
在上面注册时在获取手机验证码时抓包。

短信轰炸.GIF


userid就是手机号,因没有时间及次数限制,可无限次发送。

短信.jpg


3:个人信息:
该平台提供水费、电费、燃气费、通信费用的查询,查询页面虽然有验证码,但鸡肋。

燃气费查询页面.GIF


以燃气费查询为例:此时随便输入缴费户号,抓包发现先进行验证码的验证,然后进行户号查询。

燃气查询只先验证码.GIF


燃气查询再进行用户查询.GIF


此时userNO就是刚才输入的户号,可批量查看用户名称、家庭住址等信息

批量查询用户信息.GIF


水费貌似如果用户不欠费就不显示个人信息,话费的话只能呵呵了,查查那个土豪在用牛x号码
4:struts S2-019

struts2漏洞.gif


root权限,命令执行

命令执行.GIF


修复方案:

你们懂得,把设备上yjsp.txt、yjsp.jsp、bjsp.txt、bjsp.jsp都删了吧

版权声明:转载请注明来源 火焰真菌@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-04-03 14:18

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给山东分中心,由其后续协调网站管理单位处置。按多个漏洞综合评分,rank 14

最新状态:

暂无