国内某大型支付机构所属商城网站数据库信息泄露可被成功入侵

漏洞概要关注数(24) 关注此漏洞

漏洞标题：国内某大型支付机构所属商城网站数据库信息泄露可被成功入侵

提交时间：2014-08-04 14:08

修复时间：2014-09-18 14:10

公开时间：2014-09-18 14:10

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：16

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-08-04：细节已通知厂商并且等待厂商处理中
2014-08-08：厂商已经确认，细节仅向厂商公开
2014-08-18：细节向核心白帽子及相关领域专家公开
2014-08-28：细节向普通白帽子公开
2014-09-07：细节向实习白帽子公开
2014-09-18：细节向公众公开

简要描述：

0.0

详细说明：

中国银联
站点：http://bbs-mall.chinapay.com/
通病~ 备份可被下载
http://bbs-mall.chinapay.com/config.inc.php.bak
ok

ok 有数据库地址账号密码最重要的是，有UC_KEY、UC_API 用的是discuz ，有UC_KEY，Discuz等于可以做任何事的~
详细利用方法参见：
WooYun: 途牛网某服务配置失误导致论坛敏感文件泄露(致使百万用户信息告急)
WooYun: 途牛网某服务配置失误导致论坛敏感文件泄露(致使百万用户信息告急)
盛大： WooYun: 盛大某分站敏感配置文件泄露#1 可导致内网渗透
WooYun: 盛大某分站敏感配置文件泄露#1 可导致内网渗透
拿shell什么的，没必要，银联站点，点到即止。

漏洞证明：

如上~

修复方案：

删吧，备份不能这样的

版权声明：转载请注明来源爱上平顶山@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2014-08-08 16:23

厂商回复：

CNVD确认并复现所述情况，已经由CNCERT向网站管理单位通报，网站管理单位已经及时删除信息修复漏洞。

漏洞评价：

2014-08-04 14:20 | Summer ( 普通白帽子 | Rank:433 漏洞数:98 | 尽自己最大的努力去完成梦想)

妈妈说，前排可以上电视
2014-08-04 14:31 | Ton7BrEak ( 普通白帽子 | Rank:211 漏洞数:43 | 吃苦耐劳，我只会第一个！)

@Summer 请带上我一起上电视~（电视：干嘛都要上我！！！）
2014-08-04 14:37 | 爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

@Summer ...
2014-08-04 14:37 | 不知道2017 ( 路人 | Rank:26 漏洞数:6 | 专注信息安全领域)

牛逼啊，佩服
2014-08-04 14:39 | 爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

@不知道2017 客气 QQ已加~
2014-08-04 14:55 | 只发通用型 ( 实习白帽子 | Rank:93 漏洞数:14 | 刷通用型奖金小号)

我也要上CCAV
2014-08-04 14:57 | 爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

@只发通用型你上吧~
2014-08-04 15:17 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

@Summer 是我说的么？
2014-08-04 15:22 | 爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

@袋鼠妈妈估计是哈哈哈·
2014-08-04 15:37 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

我不信，爆个URL，我看看
2014-08-04 15:43 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

流弊我平顶山大大
2014-08-04 15:52 | 爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

@从容 0..0
2014-08-04 15:52 | 爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

@大大灰狼 ...
2014-08-04 15:54 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

@爱上平顶山带我刷钱带我飞
2014-08-04 16:18 | c26 ( 实习白帽子 | Rank:65 漏洞数:21 | 呵呵)

求刷
2014-08-04 16:30 | 爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

@从容飞毛线~
2014-08-04 16:30 | 爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

@c26 what？
2014-08-08 19:13 | Lonely ( 实习白帽子 | Rank:72 漏洞数:27 | 人生如梦,始终都游不过当局者迷的悲哀。)

@爱上平顶山 ....... 我要嫁给你.................
2014-08-08 19:21 | Testsky ( 路人 | Rank:0 漏洞数:4 | 你一直在玩吧。)

我发现哎。
2014-08-08 20:57 | 爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

@Lonely ...

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-070884

漏洞标题：国内某大型支付机构所属商城网站数据库信息泄露可被成功入侵

相关厂商：cncert国家互联网应急中心

漏洞作者：爱上平顶山

提交时间：2014-08-04 14:08

修复时间：2014-09-18 14:10

公开时间：2014-09-18 14:10

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：16

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源爱上平顶山@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-070884

漏洞标题：国内某大型支付机构所属商城网站数据库信息泄露可被成功入侵

相关厂商：cncert国家互联网应急中心

漏洞作者： 爱上平顶山

提交时间：2014-08-04 14:08

修复时间：2014-09-18 14:10

公开时间：2014-09-18 14:10

漏洞类型：重要敏感信息泄露

危害等级：高

自评Rank：16

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-070884"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 爱上平顶山@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：爱上平顶山

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源爱上平顶山@乌云