漏洞概要
关注数(24)
关注此漏洞
漏洞标题:p2p金融之乡信金融漏洞打包(4000余客户数千万资金受威胁)
漏洞作者: 默之
提交时间:2015-11-05 09:58
修复时间:2015-12-20 10:00
公开时间:2015-12-20 10:00
漏洞类型:后台弱口令
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-11-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-20: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
后台弱口令+任意文件下载+SQL注入
大量用户信息包括身份证号,家庭住址等等信息
更重要的是这个平台自身存在问题,可以后台修改红包的大小和数量,你存100我给你10000的红包也是可以的!
详细说明:
两个弱口令
admin/password test/111111(test用户竟然也具有管理员身份)
#1 用户的充值记录
下面是用户数量,一页10个,共400余页
添加任意大小红包
红包什么的都可以自己添加,直接加个大点的,就可以休息好几天了(我没有动那个)
漏洞证明:
#2 任意文件下载
http://42.159.5.146:8080/admin/showActivityImg.action?fileId=./../../../../../../etc/passwd
shadow中的密码
#3 SQL注入
PAGE_NO_KEY参数存在注入,手工玩不好,没整出来,报错注入
修复方案:
尽量不要用弱口令,采取复杂的不易被爆破的密码,test用户如果不使用的话就删除了吧
版权声明:转载请注明来源 默之@乌云
漏洞回应