p2p金融安全之悟空理财多处运维不当(影响多个系统和涉及大量敏感数据)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0126044

漏洞标题：p2p金融安全之悟空理财多处运维不当(影响多个系统和涉及大量敏感数据)

漏洞作者：艾薇儿

提交时间：2015-07-10 23:38

修复时间：2015-08-25 00:28

公开时间：2015-08-25 00:28

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-10：细节已通知厂商并且等待厂商处理中
2015-07-11：厂商已经确认，细节仅向厂商公开
2015-07-21：细节向核心白帽子及相关领域专家公开
2015-07-31：细节向普通白帽子公开
2015-08-10：细节向实习白帽子公开
2015-08-25：细节向公众公开

简要描述：

悟空理财，Smart your money！

详细说明：

玖富成立于2006年,通过互联网为用户提供个人理财、消费分期信贷、小微商户信贷等优质便捷的微型金融服务，是国内领先的P2P网络借贷平台。
这个和悟空理财是什么关系呢

然后我翻了翻，
http://www.wooyun.org/bugs/wooyun-2010-0110374
http://www.wooyun.org/bugs/wooyun-2010-0104180
http://www.wooyun.org/bugs/wooyun-2010-093546
厂商都忽略掉了，，，，我也好怕被忽略呢
所以选择了悟空作为厂商来提交漏洞，
这个漏洞时从一个弱密码的企业邮箱开始，而且还是找到一个运维的企业邮箱

密码就是9fbank
在邮件里找到一个：

看下漏洞，大神管管侠的的呀！赶紧膜拜一下大侠

然后在邮箱搜索框，搜下关键字，敏感信息很多很多

太多的敏感信息

mask 区域

*****ode*****
**********
1.://**.**.**//124.207.249.82:81/svn/welicai10_
*****^^zh*****
*****1234*****
**********
*****^务^*****
*****^4核4G 1*****
*****10.173.*****
***** 10.171*****
**********
*****8核8G 5*****
*****0.170.2*****
*****3 10.17*****
**********
*****^^，8*****
*****0.170.1*****
***** 10.171*****
**********
*****^：3台^*****
*****10.162.*****
*****10.162.*****
***** 10.162*****
**********
*****3台，*****
*****1 10.17*****
***** 10.171*****
*****10.171.1*****
**********
*****^3台^*****
*****10.170.*****
*****10.171.*****
*****0.162.2*****
**********
**********
**********
*****^211.154.*****
*****^admin*****
*****dbserv*****
*****^^录*****
**********
**********
*****名^*****
*****^：ww*****
*****8519*****
*****a8w0y*****
**********
*****cod*****

在一个邮件里面又找到另外一个成员微理财（后台统计权限）

账号密码：chenlan/cl123

一天上千万的流水，，，，，是酱紫的吗？

通过弱密码，又找到一个HR的邮箱，发现一些员工福利

再来看下企业通讯录

找到大boss（钻石王老五）的联系方式，。。。。

老板真的很给力。悟空钱包也很给力，

那么问题就来了，来个给力的礼物肿么样呢？

漏洞证明：

修复方案：

版权声明：转载请注明来源艾薇儿@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：18

确认时间：2015-07-11 00:26

厂商回复：

谢谢白帽子。请勿公开，切切

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0126044

漏洞标题：p2p金融安全之悟空理财多处运维不当(影响多个系统和涉及大量敏感数据)

相关厂商：悟空理财

漏洞作者：艾薇儿

提交时间：2015-07-10 23:38

修复时间：2015-08-25 00:28

公开时间：2015-08-25 00:28

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源艾薇儿@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0126044

漏洞标题：p2p金融安全之悟空理财多处运维不当(影响多个系统和涉及大量敏感数据)

相关厂商：悟空理财

漏洞作者： 艾薇儿

提交时间：2015-07-10 23:38

修复时间：2015-08-25 00:28

公开时间：2015-08-25 00:28

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0126044"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 艾薇儿@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：艾薇儿

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源艾薇儿@乌云