金融安全系列之二+大量个人信息危险(详细个人信息+基金账号+密码)新华基金某系统漏洞

漏洞概要

缺陷编号:WooYun-2015-0127279

漏洞标题:金融安全系列之二+大量个人信息危险(详细个人信息+基金账号+密码)新华基金某系统漏洞

相关厂商:新华基金管理有限公司

漏洞作者:system_gov

提交时间:2015-07-19 06:49

公开时间:2015-09-06 00:00

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-07-19: 细节已通知厂商并且等待厂商处理中
2015-07-20: 厂商已经确认,细节仅向厂商公开
2015-07-30: 细节向核心白帽子及相关领域专家公开
2015-08-09: 细节向普通白帽子公开
2015-08-19: 细节向实习白帽子公开
2015-09-06: 细节向公众公开

简要描述:

来乌云串门...
剑心大牛...终于给了邀请码
大量个人详细危险/大量基金账号+密码 危险

详细说明:

漏洞证明:

剑心大牛想看热闹...那么来一碟花生米..慢慢看本次目标 新华基金网1. 找准目标**.**.**.** 解析IP 发现什么不对换个姿势...找交易登陆的地方会有好戏**.**.**.** 换来IP:**.**.**.**接着开始C段...会有惊喜**.**.**.**/console/ 弱口令事件 微信平台

确认厂商:**.**.**.**/weixin-gxt/不用怀疑就是新华基金

2. shell: **.**.**.**/weisvr/jmxroot.jsp

进入服务器后才发现同样有杀软...卡巴斯基 上传war文件被杀 提示权限错误修改上传目录,直接传shell 从服务器命名看ncfund 百度一下就是新华基金了

3.数据库信息: 直接明文账号 这个是微信平台 提供查询的接口基本就能够涉及到数据库的真实信息了

4. 简单通过shell查询了下数据大概有个了解,接下来尝试ping下外网正常访问,那就直接提权上服务器这次运气还行,管理员对不住 为了安全检测 私自卸载了你的卡巴斯基,下次记得设置杀软的安全密码 防止被恶意卸载

5. 数据分析 结果证明我是的对,一切都是厂商的坑数据库账号根本没有什么权限概念,直接可以跨账户查询为方便数据查询,在服务器上面安装的DBeaver 此处并无恶意服务器网络太渣...安装个软件环境都花了半个小时不止 算了 不搞了直接shell取数据表1: 2010年的表 11W个人详细数据

表2: 基金账号信息表 181W 个人信息泄露 可根据时间证明为最真实数据具体基金账号就不截图出来了

表3: 249W个人信息

表4:联合国黑名单...和其他基金公司的一致 全是新疆 买买提...

表5:805W 基金交易记录

表6: 340W 基金账号密码信息 虽然我没看到这密码经过什么处理

表7: 微信客户查询 系统所反馈的数据 其中链接中含有手机号码参数就不截图出来了你有多少钱...我已经知道了

数据已证明...就不做内网安全检测了,管理员尽快修复为好声明:安全检测,点到为止,无修改或窃取任何用户数据信息,截图只为漏洞证明使用

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-07-2011:15

厂商回复:

非常感谢帮忙发现漏洞,我们已经修复。多谢!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 有归于无 白帽子 | Rank:49 漏洞数:5)

    补天大吊

  2. 2010-01-01 00:00 system_gov 白帽子 | Rank:38 漏洞数:4)

    @有归于无 我是来串门的

  3. 2010-01-01 00:00 prolog 白帽子 | Rank:518 漏洞数:59)

    @system_gov 优衣库第二季男主角你好

  4. 2010-01-01 00:00 幻老头儿 白帽子 | Rank:80 漏洞数:5)

    补天大牛!