漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-082666
漏洞标题:汇金官网某处命令执行漏洞导致服务器沦陷(泄露大量客户资料+银行卡+开户行+VIP帐号+密码++身份证+全权告急)
相关厂商:8884321.com
漏洞作者: 0x 80
提交时间:2014-11-09 18:43
修复时间:2015-02-07 18:44
公开时间:2015-02-07 18:44
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-11-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-07: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
不说了,看看就知道了
据说1个VIP专业版要卖6800元
详细说明:
www.8884321.com
打开官网
这是他们的软件
访问
汇金操盘手
VIP试用视频
打开地址
地址直接是SA权限,可以执行CMDSHELL命令
随意添加账户,密码,进入服务器
进入服务器可发现有客户管理
大量泄露用户密码信息
通过查找。MDB文件,找到很多数据库
其中OPEN数据库,可以得到身份证,银行卡号,开户行,姓名,手机,地址
危害可大可小啊
id : 60
personal_username : 谢振
english_username : xiezhen
personal_sex : 男
personal_BirthDate : 1988-3-11
personal_Certificate : 身份证
personal_CertificateNO : 431121198503119295
personal_Country : 中国
personal_Business : 其他
personal_BusinessTel : 18621330683
personal_Email : shruoyuan@126.com
personal_FAddr : 江西省南昌市新建县
personal_HomeTel : 18621330683
personal_SettleCountry : 中国
personal_State_pro : 上海
personal_State_city : 上海
personal_Bank : 中国工商银行上海市长寿路支行
personal_BankNO : 6222021001024928852
Amount : 100000
ACurrency : RMB
contract_NO : nh7
Introducer : 汇金网
IBNO :
append1 : No
append2 : No
show : 0
太多了,各种库,还可以查到充值纪录
=========================================
漏洞证明:
利用处
修复方案:
汗,你懂的
版权声明:转载请注明来源 0x 80@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝