当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112244

漏洞标题:哪拍网存储型xss打后台+9W+通话录音+订单泄露

相关厂商:哪拍网

漏洞作者: 小龙

提交时间:2015-05-05 18:51

修复时间:2015-06-19 18:52

公开时间:2015-06-19 18:52

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

核心价值观:
哪拍网2011年5月上线运营,作为一家商业人像摄影服务行业的垂直电子商务企业,在建站之初,我们就确立了“打破行业旧规则,树立服务新标尺”的核心价值观。解决了“后期消费、强制推荐、样片虚假、拍摄不满意”这些摄影消费者最大的顾虑。
精致生活方式:2013年,哪拍网将核心使命
哪拍网LOGO
哪拍网LOGO
进一步具体化:“透明摄影消费,守护您生活的好品味!”
我们将“精致服务”落实到以下八个方面,始终确保哪拍网是“最值得信赖的摄影消费网站”
1、 唯一将付不付款的权利交给用户,用户可以自己拍板的网站
2、 唯一100%透明消费,非透明消费退全款的网站3、 唯一100%附有真实店内图、商户授权书的网站
4、 唯一对是否提供卸妆用品、相册材质等服务细节与商户逐一电话确认的网站
5、 唯一对退款不设有效期的网站,不是7天,不是30天,是不设限
6、 唯一只要1个工作日即可办理退款至非哪拍账户的网站
7、 唯一对拍摄效果不满意可以退款的网站,只要不拷走底片
8、 唯一对倒闭商户的受损客户进行后续服务及赔偿的摄影消费网站[1]

详细说明:

直接上传5张照片,让打到后台
我们可以看到

1.png


没有manage或者admin之类的后台。。
好无语。我一直往下面啦。嘿嘿

2.png


http://www.napai.cn/manage/shaipian/index.php?page=2


伪装完毕

3.png


我贴出来几个录音

http://record3.eqitong.com/monitor/20150504/jnsw2-1430745064.913265.mp3


http://record3.eqitong.com/monitor/20150504/jnsw2-1430745150.913280.mp3


录音ID:92779
9W+录音。。。
共54816条记录 20条/页
微信接口:

5.png


6.png


在晒片处哦。。
还有代金卷,可以免费拍照。。大家懂得。。。
1000000+代金卷都不是问题。。。
够拍几十年了。没事就来张全家福,没事就来张全家福- -
还有画报,积分
涉及到现金的来了。注意看:

管理后台管理员首页项目订单哪拍券用户商户营销类别活动积分画报代金晒片微信客资设置推广» 退出登录   » 查看首页   » 百度订单    » 来源统计 升级通知:网站文本编辑器已经完成升级,如果有管理员使用编辑器发现BUG,第一时间在群里喊话或QQ to 4272374,以便修复------网站管理员:章建商户列表新建商户点评虚拟点评微信点评提现申请商户站内信余额操作相册审核版本升级责任人报错投诉
提现申请待打款金额:158425.45 元 总金额:158425.45 元 
商户名:    提现日期:  - 
   打款时间:  -     打款状态:  全部 等待打款 已经打款 已经拒绝   支付宝      
共13062条记录  10条/页123456789下一页末页流水号 商户ID/商户名称 提现金额 账户类型 申请时间 提现状态 操作 
1000078075 [6574] 宝贝庄园儿童摄影 
套系数量:6 
责任运维:运维王娜 
运维状态:强烈意向 
运维备注: 更改账户 店里还在协商 -223.00 支付宝 2015-04-09 10:02:15 等待打款  详情  
1000079449 [8927] 奇思妙想摄影馆 
套系数量:0 
责任运维:小志 
运维状态:问题商户 
运维备注: 套系全部下线 -343.00 青岛银行 2015-04-17 12:07:41 等待打款  详情  
1000080879 [11417] 北京国际新生儿儿童摄影 
套系数量:6 
责任运维:王红雨 
运维状态:重点跟进 
运维备注: 3600元完成打款,学会微信好评,app已经安装,已经告知积累晒片 -568.00 1 2015-04-23 11:17:44 等待打款  详情  
1000081978 [4633] 米可贝贝专业儿童摄影 
套系数量:3 
责任运维:宋晨 
运维状态:重点跟进 
运维备注: 介绍聚划算,考虑中,安装手机APP 介绍年费吧明天介绍 三点多左右 在扣扣聊 教他使用微信助手,然后整理店铺,介绍一下 -588.00 昆明招商银行 2015-04-27 01:18:11 等待打款  详情  
1000081980 [2207] 快乐天地 
套系数量:2 
责任运维:运维李燕 
运维状态:强烈意向 
运维备注: 13617688658。聚划算考虑,报价带哪拍提点,是500一个月, 0提点是2000一季度 -316.00 中国农业银行 2015-04-27 04:34:36 等待打款  详情  
1000081983 [8057] 大连四季童话儿童摄影 
套系数量:3 
责任运维:王忠亮 
运维状态:重点跟进 
运维备注: 作弊通知,正常,加qq聊,包含聚划算的会员合作 -310.00 建设银行长春路支行 2015-04-27 09:45:44 等待打款  详情  
1000081985 [9006] M&D私人订制写真馆 
套系数量:2 
责任运维:运营王亚颖 
运维状态:问题商户 
运维备注: 店铺现在不做了 -318.00 招商银行 2015-04-27 09:59:58 等待打款  详情  
1000081987 [6481] 幸福宝贝专业儿童摄影工作室 
套系数量:3 
责任运维:BD王静 
运维状态:重点跟进 
运维备注:  -222.00 中国银行重庆大渡口支行茄子溪分理处 2015-04-27 10:43:03 等待打款  详情  
1000082002 [1670] 宝贝当家专业儿童摄影 
套系数量:2 
责任运维:刘瑞琪 
运维状态:重点跟进 
运维备注: 介绍聚划算,嫌贵,感觉不太配合 -1414.00 招商银行景田支行 2015-04-27 11:58:20 等待打款  详情  
1000082004 [2241] 西安市爱尚宝贝儿童摄影 
套系数量:3 
责任运维:钟灵 
运维状态:重点跟进 
运维备注: 券号过期,延期。 -254.00 交通银行 2015-04-27 12:26:20 等待打款  详情  
共13062条记录  10条/页123456789下一页末页


余额操作操作金额:-2037747.70元执行金额:1842482.10元


好多钱。。

7.png


这是管理员QQ:1942421760
info@napai.com
15911034687
修改了管理员的密码

8.png


9.png


OK,我吧管理员密码改了,我密码也私聊他了,让他现在改掉

漏洞证明:

直接上传5张照片,让打到后台
我们可以看到

1.png


没有manage或者admin之类的后台。。
好无语。我一直往下面啦。嘿嘿

2.png


http://www.napai.cn/manage/shaipian/index.php?page=2


伪装完毕

3.png


我贴出来几个录音

http://record3.eqitong.com/monitor/20150504/jnsw2-1430745064.913265.mp3


http://record3.eqitong.com/monitor/20150504/jnsw2-1430745150.913280.mp3


录音ID:92779
9W+录音。。。
共54816条记录 20条/页
微信接口:

5.png


6.png


在晒片处哦。。
还有代金卷,可以免费拍照。。大家懂得。。。
1000000+代金卷都不是问题。。。
够拍几十年了。没事就来张全家福,没事就来张全家福- -
还有画报,积分
涉及到现金的来了。注意看:

管理后台管理员首页项目订单哪拍券用户商户营销类别活动积分画报代金晒片微信客资设置推广» 退出登录   » 查看首页   » 百度订单    » 来源统计 升级通知:网站文本编辑器已经完成升级,如果有管理员使用编辑器发现BUG,第一时间在群里喊话或QQ to 4272374,以便修复------网站管理员:章建商户列表新建商户点评虚拟点评微信点评提现申请商户站内信余额操作相册审核版本升级责任人报错投诉
提现申请待打款金额:158425.45 元 总金额:158425.45 元 
商户名:    提现日期:  - 
   打款时间:  -     打款状态:  全部 等待打款 已经打款 已经拒绝   支付宝      
共13062条记录  10条/页123456789下一页末页流水号 商户ID/商户名称 提现金额 账户类型 申请时间 提现状态 操作 
1000078075 [6574] 宝贝庄园儿童摄影 
套系数量:6 
责任运维:运维王娜 
运维状态:强烈意向 
运维备注: 更改账户 店里还在协商 -223.00 支付宝 2015-04-09 10:02:15 等待打款  详情  
1000079449 [8927] 奇思妙想摄影馆 
套系数量:0 
责任运维:小志 
运维状态:问题商户 
运维备注: 套系全部下线 -343.00 青岛银行 2015-04-17 12:07:41 等待打款  详情  
1000080879 [11417] 北京国际新生儿儿童摄影 
套系数量:6 
责任运维:王红雨 
运维状态:重点跟进 
运维备注: 3600元完成打款,学会微信好评,app已经安装,已经告知积累晒片 -568.00 1 2015-04-23 11:17:44 等待打款  详情  
1000081978 [4633] 米可贝贝专业儿童摄影 
套系数量:3 
责任运维:宋晨 
运维状态:重点跟进 
运维备注: 介绍聚划算,考虑中,安装手机APP 介绍年费吧明天介绍 三点多左右 在扣扣聊 教他使用微信助手,然后整理店铺,介绍一下 -588.00 昆明招商银行 2015-04-27 01:18:11 等待打款  详情  
1000081980 [2207] 快乐天地 
套系数量:2 
责任运维:运维李燕 
运维状态:强烈意向 
运维备注: 13617688658。聚划算考虑,报价带哪拍提点,是500一个月, 0提点是2000一季度 -316.00 中国农业银行 2015-04-27 04:34:36 等待打款  详情  
1000081983 [8057] 大连四季童话儿童摄影 
套系数量:3 
责任运维:王忠亮 
运维状态:重点跟进 
运维备注: 作弊通知,正常,加qq聊,包含聚划算的会员合作 -310.00 建设银行长春路支行 2015-04-27 09:45:44 等待打款  详情  
1000081985 [9006] M&D私人订制写真馆 
套系数量:2 
责任运维:运营王亚颖 
运维状态:问题商户 
运维备注: 店铺现在不做了 -318.00 招商银行 2015-04-27 09:59:58 等待打款  详情  
1000081987 [6481] 幸福宝贝专业儿童摄影工作室 
套系数量:3 
责任运维:BD王静 
运维状态:重点跟进 
运维备注:  -222.00 中国银行重庆大渡口支行茄子溪分理处 2015-04-27 10:43:03 等待打款  详情  
1000082002 [1670] 宝贝当家专业儿童摄影 
套系数量:2 
责任运维:刘瑞琪 
运维状态:重点跟进 
运维备注: 介绍聚划算,嫌贵,感觉不太配合 -1414.00 招商银行景田支行 2015-04-27 11:58:20 等待打款  详情  
1000082004 [2241] 西安市爱尚宝贝儿童摄影 
套系数量:3 
责任运维:钟灵 
运维状态:重点跟进 
运维备注: 券号过期,延期。 -254.00 交通银行 2015-04-27 12:26:20 等待打款  详情  
共13062条记录  10条/页123456789下一页末页


余额操作操作金额:-2037747.70元执行金额:1842482.10元


好多钱。。

7.png


这是管理员QQ:1942421760
info@napai.com
15911034687
修改了管理员的密码

8.png


9.png


OK,我吧管理员密码改了,我密码也私聊他了,让他现在改掉

修复方案:

过滤xss 特殊符号,诸如 alert script $%^&*M<<>

版权声明:转载请注明来源 小龙@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)