当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158057

漏洞标题:阿里通某站点源码泄露

相关厂商:alicall.com

漏洞作者: Blcat

提交时间:2015-12-04 12:05

修复时间:2015-12-09 12:06

公开时间:2015-12-09 12:06

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-04: 细节已通知厂商并且等待厂商处理中
2015-12-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

阿里通某站点源码泄露

详细说明:

http://union.alicall.com/union.rar


各种数据库密码,支付宝安全校验码泄露

inc_config.asp
connpath = "count.mdb" ' 数据库存放位置,这里填写相对index.asp的相对路径
ipconnpath = "ip.mdb" ' IP库存放位置。
bakconnpath = "stats.mdb" ' 后备库存放位置。
没绕过狗没下载成功
'站点信息
mURL = "http://www.alicall.com" ' 站点连接
mName = "GD" ' 站点名称
mNameEn = "The Cool Site" ' 站点英文名称
masterName = "admin" ' 管理员名
masterpsw = "admin" ' 管理员密码
masterEmail = "service@alicall.com" ' 管理员电子邮件
SiteBrief = "阿里通网络电话。" ' 站点介绍,请勿使用英文的双引号和换行
dbn.asp
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "DSN=newali;UID=alia;PWD=db0755ali@8nkioPni2130"
DBNewaliMssql.asp
Set conn_newali_mssql = Server.CreateObject("ADODB.Connection")
conn_newali_mssql.Open "DSN=newali;UID=alia;PWD=db0755ali@8nkioPni2130"
dbnn.asp
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "DSN=view;UID=view;PWD=dbview2014@alicc0107good"
dba.asp
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "DSN=newali;UID=alia;PWD=db0755ali@8nkioPni2130"
replay_alipay.asp
partner="2088202437863843" 'partner合作伙伴id
key = "pbh3l6gtaprw9zdoo1rg7i1o5623s6k5" '安全校验码
pay3.asp
'strcert="kgPo4gPTKgCR65uifXcazxpb8gpXlr0a1EDVvJoU2FdE2sdO8XBbQFHMQNGyQSI2FBzSSzNwJi7KtB8pc0ynFyjMWRf7cPdAXBYQTlWjjpsIhX2pp0vz44Mr2DVbuptT" '测试证书

漏洞证明:

http://union.alicall.com/union.rar


各种数据库密码,支付宝安全校验码泄露

inc_config.asp
connpath = "count.mdb" ' 数据库存放位置,这里填写相对index.asp的相对路径
ipconnpath = "ip.mdb" ' IP库存放位置。
bakconnpath = "stats.mdb" ' 后备库存放位置。
没绕过狗没下载成功
'站点信息
mURL = "http://www.alicall.com" ' 站点连接
mName = "GD" ' 站点名称
mNameEn = "The Cool Site" ' 站点英文名称
masterName = "admin" ' 管理员名
masterpsw = "admin" ' 管理员密码
masterEmail = "service@alicall.com" ' 管理员电子邮件
SiteBrief = "阿里通网络电话。" ' 站点介绍,请勿使用英文的双引号和换行
dbn.asp
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "DSN=newali;UID=alia;PWD=db0755ali@8nkioPni2130"
DBNewaliMssql.asp
Set conn_newali_mssql = Server.CreateObject("ADODB.Connection")
conn_newali_mssql.Open "DSN=newali;UID=alia;PWD=db0755ali@8nkioPni2130"
dbnn.asp
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "DSN=view;UID=view;PWD=dbview2014@alicc0107good"
dba.asp
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "DSN=newali;UID=alia;PWD=db0755ali@8nkioPni2130"
replay_alipay.asp
partner="2088202437863843" 'partner合作伙伴id
key = "pbh3l6gtaprw9zdoo1rg7i1o5623s6k5" '安全校验码
pay3.asp
'strcert="kgPo4gPTKgCR65uifXcazxpb8gpXlr0a1EDVvJoU2FdE2sdO8XBbQFHMQNGyQSI2FBzSSzNwJi7KtB8pc0ynFyjMWRf7cPdAXBYQTlWjjpsIhX2pp0vz44Mr2DVbuptT" '测试证书

修复方案:

删除(求高点rank好升级)

版权声明:转载请注明来源 Blcat@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-12-09 12:06

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

2015-12-25:已经删除