基金安全之某基金漏洞导致Getshell(涉及大量的详细用户数据和密码)

漏洞概要

缺陷编号:WooYun-2015-0128004

漏洞标题:基金安全之某基金漏洞导致Getshell(涉及大量的详细用户数据和密码)

相关厂商:财通基金管理有限公司

漏洞作者:管管侠

提交时间:2015-07-23 00:31

公开时间:2015-09-06 16:38

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-07-23: 细节已通知厂商并且等待厂商处理中
2015-07-23: 厂商已经确认,细节仅向厂商公开
2015-08-02: 细节向核心白帽子及相关领域专家公开
2015-08-12: 细节向普通白帽子公开
2015-08-22: 细节向实习白帽子公开
2015-09-06: 细节向公众公开

简要描述:

涉及大量用户数据,地震式影响,所以我这次采用某基金
服务发现前人近期的shell,不知道是否数据被拖,但是服务器有病毒防护,我猜这菜鸟没弄明白
绕过后,没想到有这么多用户,吓一跳吖
声明:未拖数据,望cncert及时通报

详细说明:

涉及基金公司:财通基金管理有限公司http://**.**.**.**/message-web/messagesJSON/jsonadd

漏洞证明:

菜刀连不上数据库,其他市面的大马基本都被服务器上的趋势杀毒干掉了,趋势还是挺NB的这时候服务器切换了一下,发现前几天有人传过shell,不知道谁

既然不能连数据库,我自己照猫画虎写了个纯净数据库连接程序

有1900+的表,筛选了下找到了用户表,一看,尼玛呀

下面是证明,个人信息太全了,6位数字应该是密码吧证明:http://**.**.**.**/message-web/sk.jsp读了100条做证明

shell:http://**.**.**.**/message-web/cmd.jsp 密码:023

修复方案:

再次声明:发现问题即提交,脱库的事不是管管侠干的注意:清除前人的shell,以及我传的两个文件,建议全盘通查,看看日志有没有大量数据被拖的痕迹

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-07-2316:36

厂商回复:

感谢白帽子!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 JGHOOluwa 白帽子 | Rank:5 漏洞数:1)

    一楼占座!

  2. 2010-01-01 00:00 啊L川 白帽子 | Rank:136 漏洞数:15)

    又出新作

  3. 2010-01-01 00:00 茜茜公主 白帽子 | Rank:899 漏洞数:85)

    搞不好就我传的

  4. 2010-01-01 00:00 管管侠 白帽子 | Rank:1623 漏洞数:136)

    差点乌龙,还好及时补救

  5. 2010-01-01 00:00 管管侠 白帽子 | Rank:1623 漏洞数:136)

    晕,都5分5分的给我?基金的都是串通好的?我还特意写的某基金,下次我就按实名实际危害写,呵呵了

  6. 2010-01-01 00:00 zowie 白帽子 | Rank:60 漏洞数:5)

    不错不错

  7. 2010-01-01 00:00 _Thorns 白帽子 | Rank:796 漏洞数:60)

    表哥求那个数据库脚本!