漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0210201
漏洞标题:支付安全之mo9多处漏洞打包(oa系统/奇葩设计涉及用户身份证照片及敏感信息)
相关厂商:上海佰晟通信息科技有限公司
漏洞作者: 千机
提交时间:2016-05-18 20:50
修复时间:2016-07-04 09:50
公开时间:2016-07-04 09:50
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-05-18: 细节已通知厂商并且等待厂商处理中
2016-05-20: 厂商已经确认,细节仅向厂商公开
2016-05-30: 细节向核心白帽子及相关领域专家公开
2016-06-09: 细节向普通白帽子公开
2016-06-19: 细节向实习白帽子公开
2016-07-04: 细节向公众公开
简要描述:
mo9是2011年成立,隶属于上海佰晟通信息科技有限公司,总部位于上海[1] ,是一家线上游戏及虚拟商品的信用服务提供商,由美国著名投资机构红杉资本参与投资。mo9是由一批原PayPal美国工程师创立的,创立mo9的主要目的是向众多的移动行业商家提供一种优秀的移动支付解决方案,解决移动行业的支付瓶颈。mo9首创“先玩后付”的支付模式,正迅速成为移动游戏领域最流行的付费方式,支持12个国家和地区,整合了全球56种还款通道
mo9荣获支付类重量级奖项—“2014年度中国十大第三方支付企业”大奖。
详细说明:
官网的地址为
首先来讲oa系统的漏洞
oa系统的链接为
用友a8-v5的漏洞
首先他是存在着弱口令audit-admin 123456
审计管理员的权限,但是这个审计管理员的权限并没啥功能,不过他可以看到所有的用户的名字
看到用户名也没用啊。不知道用户名的规则,于是又有个日志泄露的漏洞让我们看到了用户名的命名规则
可以才出来用户名的规则是名的拼音缩写加上姓的全拼
于是,写个小脚本将审计管理员权限看到的员工的名字给爬出来,然后生成字典
现在问题又来了,前端的话确实没有验证码,可以用这个字典来进行弱口令爆破,但是每个账户都只有4次的错误机会,就不能多次猜密码咋办呢
于是又有了个无限撞库的漏洞
通过这个链接可以无限撞库
这里就不多试弱口令了,用123456成功爆破出三枚用户
贵公司工资好高,,,
然后又找到vpn的密码,,但是没有提供ip,,于是就不了了之
第二个奇葩设计,,我真的想不通为什么会这样设计,,为什么这个接口什么东西都有。。
首先是在官网翻啊翻找到这张图片
本来还想着会不会有注入的,,然后顺手遍历了一下fileId,,就来惊喜了。。
77292就变成这样的了
隐约能够看到有手机号还有身份证号,乱码咋解决呢。
用python的来访问这个链接然后print出来就不是乱码了
然后复制出来扔json查看器去看看
身份证号码,手机号,名字,都出来了
地址,年龄,,连星座都有
为什么连通话记录都有,,是不是偷偷收集的
还有一大堆配置的内容,像什么是否认证啊什么的,,
再遍历,,更多惊喜
手持身份证
身份证正面照
身份证背面照
试了一大堆之后发现了一个规律,一般的顺序为账户信息,然后手持身份证,身份证正面照,然后背面照,然后如果有的话会有近期照片。然后就是下一个用户的这些信息
可以遍历
有了用户的信息,,那不是想干什么干什么,,,
而且试了下20多万后还有。所以可以基本确认所有用户的信息都可以拿出来
漏洞证明:
修复方案:
改改改
版权声明:转载请注明来源 千机@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2016-05-20 09:46
厂商回复:
CNVD确认并复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。
最新状态:
暂无