当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0190588

漏洞标题:某大型第三方支付机构持卡人服务网站钱包业务官网存在漏洞涉及大量还款文件可Getshell

相关厂商:某大型第三方支付机构

漏洞作者: 路人甲

提交时间:2016-03-30 21:00

修复时间:2016-05-16 17:40

公开时间:2016-05-16 17:40

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-03-30: 细节已通知厂商并且等待厂商处理中
2016-04-01: 厂商已经确认,细节仅向厂商公开
2016-04-11: 细节向核心白帽子及相关领域专家公开
2016-04-21: 细节向普通白帽子公开
2016-05-01: 细节向实习白帽子公开
2016-05-16: 细节向公众公开

简要描述:

某大型第三方支付机构持卡人服务网站钱包业务官网存在漏洞涉及大量还款文件可Getshell

详细说明:

目标

**.**.**.**


怎么样发现是银联的网站,带我一步一步的道来。
》》》》》》》》》》》》》》》》》》》》》》》》
没错,这就是你们熟悉的java反序列化

1.png

在流量器输入

**.**.**.**


会跳转到

https://**.**.**.**/mer/


心中一阵窃喜,这不是银联的官网吗?但是要是是别的网站做个URL跳转不就诬陷人家银联了吗?
继续输入

**.**.**.**


2.png

直接跳转到银联官网了

https://**.**.**.**/static/union/pages/index/index.html


但是ping这个域名肯定返回的不是这个IP,那就只有翻文件

漏洞证明:

问题

3.png


上传shell
应该是上传成功了的,估计是被拦截了

4.png


IP信息

5.png


不是系统权限

6.png


这里就让我很迷惑了
用java反序列化的工具,在出错的时候来了个IP

**.**.**.**


一看这个IP,尼玛不是阳光人寿的吗?难道存在反序列化的这个IP是阳光人寿的,是他做了了url跳转到银联官网的?
继续翻文件

8.png


连接IP

9.png


last记录

10.png


真有这么多用户吗,这个linux

11.png


12.png


我现在拿到的权限只是个admin权限,是你看不了cat /etc/passwd.但是亲爱的管理员帮我保存了在服务器上

13.png


这里可以看见有很多chinapay_huankuan的XLS。只怨这台电脑无法运行香草那个工具,也难得去整,不然下来看看是些啥子。

14.png


内网地址

15.png


在这儿开始慢慢确定是银联的服务器了

16.png

17.png

18.png

19.png


上面这张图片完全可以说明银联的,从备案号来看

修复方案:

管理员,你这样我们中国人民怎么安全支付

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2016-04-01 17:38

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国银联通报,由其后续协调网站管理单位处置.

最新状态:

暂无