当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0117573

漏洞标题:p2p金融安全之爱钱进主站某漏洞泄漏部分会员帐号密码

相关厂商:iqianjin.com

漏洞作者: 擼管俠

提交时间:2015-06-01 19:22

修复时间:2015-07-17 10:06

公开时间:2015-07-17 10:06

漏洞类型:

危害等级:高

自评Rank:13

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-01: 细节已通知厂商并且等待厂商处理中
2015-06-02: 厂商已经确认,细节仅向厂商公开
2015-06-12: 细节向核心白帽子及相关领域专家公开
2015-06-22: 细节向普通白帽子公开
2015-07-02: 细节向实习白帽子公开
2015-07-17: 细节向公众公开

简要描述:

听说爱进钱是个好厂商···刷个严重点的看看有没有礼物

详细说明:

111111.jpg

221.jpg

一共是36340个帐号密码。

33333333333333333333.jpg


http://bbs.iqianjin.com//data/restore.php
备份信息泄漏了。虽然是老数据,但是如果不提交的,等到管理员下次备份,说不定就是新数据了····其中风险可想而知

漏洞证明:

INSERT INTO pre_ucenter_members VALUES ('1',0x61646d696e,0x3964363662396530303537393437386165363031363031646639653037623466,0x7175616e6c69616e6766656e6740697169616e6a696e2e636f6d,'','',0x68696464656e,'1398933380','0','0',0x313736313731,'');
INSERT INTO pre_ucenter_members VALUES ('2',0x697169616e6a696e,0x3664626339303663393438303533373836616530363765663635613837393632,0x6c69756c696368656e40697169616e6a696e2e636f6d,'','',0x3131392e3136312e3138382e313034,'1399173621','0','0',0x356230616230,'');
INSERT INTO pre_ucenter_members VALUES ('4',0x7869616f7175616e,0x3964306131643332636365316565666463633661643363363462323034343166,0x31333538313835343637344078787878782e636f6d,'','',0x3139322e3136382e3130302e3132,'1399216401','0','0',0x313665383830,'');


数据都是16进制的,转换为文本字符即可。
admin 9d66b9e00579478ae601601df9e07b4f quanliangfeng@iqianjin.com
对应的转换出来即可,admin没有salt,不过其他会员会自带salt

 WooYun: Discuz!旗下产品统一存在一个csrf+sql批量执行风险(dz3.x,dz7.x,SupeSite7.x等等) 

修复方案:

影响高的话会有Mac pro送吗?
该漏洞还有额外的风险吗,

 WooYun: Discuz!旗下产品统一存在一个csrf+sql批量执行风险(dz3.x,dz7.x,SupeSite7.x等等) 

版权声明:转载请注明来源 擼管俠@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-06-02 10:04

厂商回复:

谢谢关注。

最新状态:

暂无


漏洞评价:

评论