当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0109734

漏洞标题:翼龙贷某站未授权访问+命令执行导致十几亿资金可随意操作

相关厂商:翼龙贷

漏洞作者: 杀器王子

提交时间:2015-04-22 20:43

修复时间:2015-06-08 18:20

公开时间:2015-06-08 18:20

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-22: 细节已通知厂商并且等待厂商处理中
2015-04-24: 厂商已经确认,细节仅向厂商公开
2015-05-04: 细节向核心白帽子及相关领域专家公开
2015-05-14: 细节向普通白帽子公开
2015-05-24: 细节向实习白帽子公开
2015-06-08: 细节向公众公开

简要描述:

翼龙贷未授权访问+命令执行导致十几亿资金可随意操作

详细说明:

北京同城翼龙网络科技有限公司(以下简称翼龙贷)是联想控股战略投资企业。翼龙贷网成立于2007年,总部位于北京。翼龙贷经过了7年的钻研与历练, 以及对市场的全面分析,成功转型,是中国首倡“同城O2O”概念的互联网金融企业[1] ,更大限度的解决了坏账问题。
翼龙贷目前已在全国一百多个地级市设立运营中心,覆盖上千个区、县及近万个乡镇[2] ,并将在全国众多的一、二线城市建立全国性的服务网络。通过这一平台,可以帮助信用良好的且有不同需求的人群解决资金短缺问题,同时能够为有理财需求的客户将手中的富余资金进行较高回报的投资。
号称是联想控股。
http://statistics.eloancn.com/
这应该是后台 应该在外网 应该有验证
可是什么都没有 直接可以访问 可以查询任何信息

Snip20150422_7.png


流动资金十几亿
单人充值金额最多的2700w+

Snip20150422_9.png


Snip20150422_10.png


漏洞证明:

光有报表不算什么,看看 每个查询都是注入:

Snip20150422_11.png


光有注入不算什么,看看 struts命令执行
意味着算有数据可操作。。。

Snip20150422_12.png


Snip20150422_13.png


Snip20150422_14.png


Snip20150422_15.png

修复方案:

加固核心业务

版权声明:转载请注明来源 杀器王子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-04-24 18:18

厂商回复:

CNVD未直接复现所述漏洞情况,暂未建立与网站管理单位的直接处置渠道,待认领。

最新状态:

暂无