当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0209158

漏洞标题:支付安全之支付通多处漏洞打包(shell/sql注入/撞库/账号泄露/大量用户身份证照泄露)

相关厂商:北京海科融通支付服务股份有限公司

漏洞作者: 千机

提交时间:2016-05-16 12:10

修复时间:2016-07-03 17:10

公开时间:2016-07-03 17:10

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-05-16: 细节已通知厂商并且等待厂商处理中
2016-05-19: 厂商已经确认,细节仅向厂商公开
2016-05-29: 细节向核心白帽子及相关领域专家公开
2016-06-08: 细节向普通白帽子公开
2016-06-18: 细节向实习白帽子公开
2016-07-03: 细节向公众公开

简要描述:

RT

详细说明:

首先是Qpos的后台撞库,成功撞出一堆账户

http://**.**.**.**/login.jhtml


18530001041	qq7635382	5922
18705217477 a258023 5922
13838218237 z363868265 5922
13566773764 230563hu 5922
18742216333 5895517a 5922
13390783599 kgd5563986 5922
15573885218 lsj773708 5922
15080230223 1538677kk 5922
18701080508 a16898000 5922
15966721233 liu890426 5922
18605912350 xiong8877 5922
18559313030 savero1990 5922
18689732525 mxx331998 5922
18608890782 wxf4758064 5922
15938718517 wo1267891 5922
18790283505 duibuqi51845 5922
15896522701 910827mw 5922
18681777789 zg820326 5922


239.png


可以看到所有刷pos机的记录和结算记录

240.png


241.png


242.png


然后是账号泄露
翻github看到的

https://**.**.**.**/grootzhao/groot/blob/c36a7f3ba2885c24a681b65c8bdf1c2c11f40749/base-web/src/main/resources/log4j.properties


hkrt_qpos@**.**.**.**      hkrtqpos


243.png


貌似是个发重置密码的邮箱,,一大堆东西。貌似重置了几个系统的密码,可惜看了下没找到重置密码地方。不懂业务流程

244.png


245.png


然后是getshell

http://**.**.**.**/zxsale-sys2/login.action


存在S2-019

246.png


菜刀成功连上去

http://**.**.**.**/zxsale-sys2/bak.jsp   Cknife


247.png


找到数据库配置文件

248.png


用菜刀连接没成功,于是找键盘表哥要了个jsp大马,直接连上数据库

http://**.**.**.**/zxsale-sys2/aa.jsp


解了几个出来发现权限不全,终于解出了一个超级管理员的账号

luhai  123qwe


影响大量的代理商

250.png


可以使一大堆pos设备直接不能使用

251.png


大量用户的支付信息及用户信息

252.png


253.png


内部员工的信息和权限

254.png


然后是sql注入
存在于这个后台的代理管理搜索处

255.png


256.png


available databases [8]:
[*] icardpay_auth
[*] icardpay_zhangxb
[*] information_schema
[*] micro_credit
[*] mr_pos
[*] mysql
[*] test
[*] zhongxin


然后找到这个后台

http://**.**.**.**/doLogin.do


。。卧槽,写到这里突然不能上传图片了。我不要重新写过。审核原谅我接下来没有图片
接下来没有图片了。
这个后台商家管理平台。读之前的数据库找到了这个后台的用户名密码
可惜解不出来是什么加密。所以不了了之
贴几个,有知道是什么加密的吗

13168864462   XjrEmE9eibI=
18311000890 zusIG+EE0ds=
13161188680 O1DoXX89S9U=


然后是用户的证件照泄露

**.**.**.**:8080/


../
UserPhotoFile/ 15-May-2016 22:37 -
jqb-authphotos/ 08-May-2015 11:43 -
jqb-p2pphotos/ 15-May-2016 21:41 -
jqbfile/ 03-Aug-2015 09:37 -


第一个点不开,第二个里面有部分的认证照片。全是身份证证件照什么的,
第三个千万别在火狐浏览器打开,,数据太多直接卡死。。。
全是各种照片
第四个是每日的报表,昨天的都还有
暂时就这些了

**.**.**.**:8080/

漏洞证明:

256.png

修复方案:

改改改

版权声明:转载请注明来源 千机@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2016-05-19 17:09

厂商回复:

CNVD未直接复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。

最新状态:

暂无