当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149955

漏洞标题:某国际商品贸易公司配置不当可getshell(导致站内会员身份证和银行卡图片泄露)

相关厂商:PhibroFX国际商品贸易公司

漏洞作者: 帅克笛枫

提交时间:2015-10-28 10:34

修复时间:2015-12-12 10:36

公开时间:2015-12-12 10:36

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

~爱是月光的礼物
我等待天使的情书
说你爱我
我愿为了爱沉睡 别醒来
永恒哪 在不在
怪我的心 放不开
北极星 带我走
别躲藏 把爱找出来
我爱你 每一夜
我等待 我的心~

详细说明:

访问:http://www.phibrofx.co/zh-cn/read.jsp?id=16,如图所示:

phi1.png

PhibroFX公司,点击立即开立账户,如图所示:

phi2.png

往下身份证上传处,如图所示:

phi3.png

上传文件iuo.asp;230.jpg,开启burp抓包,如图所示:

phi4.png

将filename去掉后缀,如图所示:

phi5.png

点击go,上传成功,如图所示:

phi6.png

漏洞证明:

{success:true,message:,data:{src:'/upfile/images/2015-10/2721119.asp'},total:1,errors:''}访问shell地址,如图所示:

phi7.png

/upfile/images/目录下存放用户注册的身份证及银行卡图片,如图所示:

phi8.png

用户信息,如图所示:

314655.jpg

1018554.png

1316049.jpg

2415131.jpg

2415348.jpg

10151632.jpg

30144053.jpg

修复方案:

~修复~

版权声明:转载请注明来源 帅克笛枫@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:18 (WooYun评价)