当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0126044

漏洞标题:p2p金融安全之悟空理财多处运维不当(影响多个系统和涉及大量敏感数据)

相关厂商:悟空理财

漏洞作者: 艾薇儿

提交时间:2015-07-10 23:38

修复时间:2015-08-25 00:28

公开时间:2015-08-25 00:28

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-10: 细节已通知厂商并且等待厂商处理中
2015-07-11: 厂商已经确认,细节仅向厂商公开
2015-07-21: 细节向核心白帽子及相关领域专家公开
2015-07-31: 细节向普通白帽子公开
2015-08-10: 细节向实习白帽子公开
2015-08-25: 细节向公众公开

简要描述:

悟空理财,Smart your money!

详细说明:

玖富成立于2006年,通过互联网为用户提供个人理财、消费分期信贷、小微商户信贷等优质便捷的微型金融服务,是国内领先的P2P网络借贷平台。
这个和悟空理财是什么关系呢

QQ20150710-7@2x.png


然后我翻了翻 ,
http://www.wooyun.org/bugs/wooyun-2010-0110374
http://www.wooyun.org/bugs/wooyun-2010-0104180
http://www.wooyun.org/bugs/wooyun-2010-093546
厂商都忽略掉了,,,, 我也好怕被忽略呢
所以选择了悟空作为厂商来提交漏洞,
这个漏洞时从一个弱密码的企业邮箱开始,而且还是找到一个运维的企业邮箱

QQ20150710-20@2x.png


密码就是9fbank
在邮件里找到一个:

QQ20150710-8@2x.png


看下漏洞,大神管管侠的的呀! 赶紧膜拜一下大侠

QQ20150710-9@2x.png


然后在邮箱搜索框 ,搜下关键字,敏感信息很多很多

QQ20150710-10@2x.png


QQ20150710-11@2x.png


太多的敏感信息

mask 区域
*****ode*****
**********
1.://**.**.**//124.207.249.82:81/svn/welicai10_
*****^^zh*****
*****1234*****
**********
*****^务^*****
*****^4核4G 1*****
*****10.173.*****
***** 10.171*****
**********
*****8核8G 5*****
*****0.170.2*****
*****3 10.17*****
**********
*****^^,8*****
*****0.170.1*****
***** 10.171*****
**********
*****^:3台^*****
*****10.162.*****
*****10.162.*****
***** 10.162*****
**********
*****3台,*****
*****1 10.17*****
***** 10.171*****
*****10.171.1*****
**********
*****^3台^*****
*****10.170.*****
*****10.171.*****
*****0.162.2*****
**********
**********
**********
*****^211.154.*****
*****^admin*****
*****dbserv*****
*****^^录*****
**********
**********
*****名^*****
*****^:ww*****
*****8519*****
*****a8w0y*****
**********
*****cod*****


在一个邮件里面又找到另外一个成员 微理财 (后台统计权限)

账号密码:chenlan/cl123


一天上千万的流水,,,,,是酱紫的吗?

QQ20150710-17@2x.png


QQ20150710-15@2x.png


QQ20150710-16@2x.png


通过弱密码,又找到一个HR的邮箱,发现一些员工福利

QQ20150710-1@2x.png


QQ20150710-3@2x.png


再来看下企业通讯录

QQ20150710-12@2x.png


找到大boss(钻石王老五)的联系方式,。。。。

QQ20150710-14@2x.png


QQ20150710-13@2x.png


老板真的很给力。悟空钱包也很给力,

QQ20150710-19@2x.png


那么问题就来了, 来个给力的礼物肿么样呢?

漏洞证明:

修复方案:

版权声明:转载请注明来源 艾薇儿@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-07-11 00:26

厂商回复:

谢谢白帽子。请勿公开,切切

最新状态:

暂无