当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158877

漏洞标题:某贵金属电子交易平台配置不当(可getshell/泄露客户的身份证和银行卡信息)

相关厂商:Monecor贵金属电子交易平台

漏洞作者: 帅克笛枫

提交时间:2015-12-07 15:27

修复时间:2016-01-21 15:30

公开时间:2016-01-21 15:30

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

~愁绪挥不去苦闷散不去
为何我心一片空虚
感情已失去一切都失去
满腔恨愁不可消除
为何你的嘴里总是那一句
为何我的心不会死
明白到爱失去一切都不对
我又为何偏偏喜欢你~

详细说明:

访问:http://www.monmsl.cc/zh-cn/read.jsp?id=1,如图所示:

mon1.png

Monecor贵金属电子交易平台,点击开立真实账户,如图所示:

mon2.png

往下,银行卡上传处,burp抓包,如图所示:

mon3.png

改完后缀点GO,上传成功如图所示:

mon4.png

漏洞证明:

访问shell地址,http://www.monmsl.cc/upfile/images/2015-12/6162540.asp,如图所示:

mon5.png

images目录下存放用户的身份证和银行卡图片,如图所示:

mon6.png

用户信息,如图所示:

131218.jpg

1815336.jpg

15145817.jpg

1310829.jpg

19175810.jpg

修复方案:

~修复~

版权声明:转载请注明来源 帅克笛枫@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:18 (WooYun评价)


漏洞评价:

评价