当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0164190

漏洞标题:ABC360配置不当各种敏感信息泄露(可以约金发歪果美女)

相关厂商:ABC360

漏洞作者: Blcat

提交时间:2015-12-24 15:31

修复时间:2015-12-30 14:45

公开时间:2015-12-30 14:45

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-24: 细节已通知厂商并且等待厂商处理中
2015-12-26: 厂商已经确认,细节仅向厂商公开
2015-12-30: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

圣诞节要到了
你想约金发歪果仁妹子吗

详细说明:

源码泄露

http://www.abc360.com/ThinkPHP/Library/Vendor.tar.gz


大概翻了下,各种支付系统的配置都在

QQ截图20151224025431.png


QQ截图20151224025943.png


QQ截图20151224025226.png


各种云平台接口

QQ截图20151224024234.png


QQ截图20151224024912.png


现在你就该问我怎么翻到这么深的目录下面的

http://182.92.119.216:5678/


列目录

QQ截图20151224122148.png


虽然没有显示每个文件详细内容,但是还是有各种信息泄露
首先咱们看看简历

QQ截图20151224021439.png


QQ截图20151224123340.png


接着还有大量订单记录

QQ截图20151224022250.png


退款记录

QQ截图20151224123835.png


付款记录

QQ截图20151224022421.png


QQ截图20151224022336.png


QQ截图20151224022219.png


好多好多订单,金额大都是4位数
那么你该问我,看了这么久
说好的约金发歪果仁美女呢
说好的约金发歪果仁美女呢
说好的约金发歪果仁美女呢
看看这里的求职简历,不知道多少份哎

QQ截图20151224022912.png


随手下载了三份

QQ截图20151224124833.png


这次的圣诞节约妹子是有戏了
还有你们很多txt要删的就删了吧,像这样的等不列举了

http://www.abc360.com//wage/Log/lastSql.txt


漏洞证明:

源码泄露

http://www.abc360.com/ThinkPHP/Library/Vendor.tar.gz


大概翻了下,各种支付系统的配置都在

QQ截图20151224025431.png


QQ截图20151224025943.png


QQ截图20151224025226.png


各种云平台接口

QQ截图20151224024234.png


QQ截图20151224024912.png


现在你就该问我怎么翻到这么深的目录下面的

http://182.92.119.216:5678/


列目录

QQ截图20151224122148.png


虽然没有显示每个文件详细内容,但是还是有各种信息泄露
首先咱们看看简历

QQ截图20151224021439.png


QQ截图20151224123340.png


接着还有大量订单记录

QQ截图20151224022250.png


退款记录

QQ截图20151224123835.png


付款记录

QQ截图20151224022421.png


QQ截图20151224022336.png


QQ截图20151224022219.png


好多好多订单,金额大都是4位数
那么你该问我,看了这么久
说好的约金发歪果仁美女呢
说好的约金发歪果仁美女呢
说好的约金发歪果仁美女呢
看看这里的求职简历,不知道多少份哎

QQ截图20151224022912.png


随手下载了三份

QQ截图20151224124833.png


这次的圣诞节约妹子是有戏了
还有你们很多txt要删的就删了吧,像这样的等不列举了

http://www.abc360.com//wage/Log/lastSql.txt


修复方案:

运维的锅加上代码目录设置不太合理
5678端口该关了吧
那个备份文件该删了吧
圣诞节要到了,我的礼物也该有吧

版权声明:转载请注明来源 Blcat@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-12-26 09:19

厂商回复:

谢谢,我们正在处理。

最新状态:

2015-12-30:已修复


漏洞评价:

评价

  1. 2016-01-05 00:14 | 不知名 ( 路人 | Rank:4 漏洞数:1 | 不需要)

    礼物呢= =

  2. 2016-01-05 09:37 | Blcat ( 普通白帽子 | Rank:129 漏洞数:23 | 家穷人丑 一米四九 小学文化 农村户口)

    @不知名 收到了,良心厂商