当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0164623

漏洞标题:支付安全之金联万家主站漏洞导致Getshell(涉及2000W+人银行卡信息\1858员工账号\涉及大量银行)

相关厂商:金联万家

漏洞作者: 管管侠

提交时间:2015-12-25 16:04

修复时间:2016-02-09 23:29

公开时间:2016-02-09 23:29

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-25: 细节已通知厂商并且等待厂商处理中
2015-12-29: 厂商已经确认,细节仅向厂商公开
2016-01-08: 细节向核心白帽子及相关领域专家公开
2016-01-18: 细节向普通白帽子公开
2016-01-28: 细节向实习白帽子公开
2016-02-09: 细节向公众公开

简要描述:

谁能挡我
账户总额:约1580亿?

详细说明:

java反序列化:
http://**.**.**.**
http://**.**.**.**
对应
**.**.**.**
http://**.**.**.**
http://**.**.**.**
对应 **.**.**.**
都存在weblogic命令执行
跳到主站了

a1.png

漏洞证明:

1.png


2.png


3.png


4.png


5.png


1.png


2000W人银行卡对账信息

2.png


3.png


4.png


账户总额

5.png


6.png


1858名员工账号,含密码

7.png


2013年就被传了shell,不过不是我

8.png

修复方案:

发现即提交,测试的shell已删除,历史别人传的请官方自行查找删除
本人声明:绝对未带走数据,我是好人

版权声明:转载请注明来源 管管侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-12-29 17:37

厂商回复:

CNVD未复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。

最新状态:

暂无

漏洞评价:

评价

  1. 2015-12-25 16:12 | 我的邻居王婆婆 ( 普通白帽子 | Rank:2991 漏洞数:508 | 刚发现个好洞网站就挂了)

    好猛,来超越我吧

  2. 2015-12-25 17:52 | Martial ( 普通白帽子 | Rank:2074 漏洞数:293 | 竟然还有人冒充我,醉了,骗子QQ445697541...)

    洞主 要不要这样http://butian.360.cn/vul/info/qid/QTVA-2015-344216

  3. 2015-12-25 19:21 | 进击的zjx ( 普通白帽子 | Rank:1469 漏洞数:180 | 1000rank目标达成!撒花……)

    双投么http://butian.360.cn/vul/info/qid/QTVA-2015-344216

  4. 2015-12-26 10:20 | k0_pwn ( 实习白帽子 | Rank:96 漏洞数:13 | 专注且自由)

    按时间来看是不是后发现的。。。