当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0183841

漏洞标题:POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

相关厂商:首信易支付

漏洞作者: 小龙

提交时间:2016-03-12 16:42

修复时间:2016-04-28 10:30

公开时间:2016-04-28 10:30

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-03-12: 细节已通知厂商并且等待厂商处理中
2016-03-14: 厂商已经确认,细节仅向厂商公开
2016-03-24: 细节向核心白帽子及相关领域专家公开
2016-04-03: 细节向普通白帽子公开
2016-04-13: 细节向实习白帽子公开
2016-04-28: 细节向公众公开

简要描述:

http://www.wooyun.org/bugs/wooyun-2016-0174071
通过此漏洞可以得知此网站的用户数据

详细说明:

看到厂商的公告
https://www.beijing.com.cn/pages/stage/web/Declaration%20letter.jsp

13.png


发现厂商对安全很重视,毕竟进去里面可以冲话费,QB。作为第三方平台疏忽的话就非常麻烦了。
厂商是否可以来个20rank+个小礼物呢 ^_^ 码字码的真累。。
1# 爆破
pay.yizhifubj.com/merchant/login.jsp
当然爆破这个洞。。 修复起来很头痛。例如用户员工不上线,或许员工离职
会留下一些敏感信息
爆破出
虽然有验证码,但是没校验次数
爆破密码123456

request	payload	status	error	timeout	length	comment
22 chenchen 200 false false 5116
42 chenhua 200 false false 6341
94 chenyan 200 false false 4693
353 litingting 200 false false 4693
737 wangshuai 200 false false 5628
853 xuli 200 false false 4693
985 zhangbin 200 false false 3608
1016 zhanghui 200 false false 5488
1039 zhangliang 200 false false 3610
1106 zhangying 200 false false 5256
1118 zhangzheng 200 false false 4682


挺多的。不一一测试了
登录 wangshuai的看看

1.png


发现操作员这里没越权没注入。。
这个系统做的挺好

2.png


3.png


但是 主站就不是这么幸运了
在上传资料处任意上传

4.png


拿到webshell

5.png


6.png


https://www.yizhifubj.com/resources/2016-03-12/bc648818-c087-4199-be1d-ecfd766763ea.jsp
发现有很多资料
/usr/local/tomcat/FileDir/resources/2016-03-12
上传目录的都删除吧。管理
971个目录,当然这只是日期格式
例如今天3月12日
那么a和b用户都在同一天上传的话就是上传到3月12日目录里,而不是用户的子目录

7.png


105个目录
看看

8.png


俩不一样的。这样审核可能知道啥意思了把。。

9.png


还有各种cer证书,包括vpn的证书
/usr/local/tomcat/

10.png


11.png


12.png


附上仁兄身份证图。审核看完记得打马赛克哦。。。
不深入了。基本上整站都在我控制之中了。。

漏洞证明:

修复呗。。

修复方案:

1:爆破: 验证码只校验3次,3次错误封锁账号,或者用手机号码登录
2:检查上传的后缀名,例如cer,php。jsp都不能传

版权声明:转载请注明来源 小龙@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2016-03-14 10:30

厂商回复:

非常感谢

最新状态:

暂无


漏洞评价:

评价

  1. 2016-03-12 16:43 | ’‘Nome ( 普通白帽子 | Rank:144 漏洞数:31 | 有事请发邮件,2859857@gmail.com,垃圾邮...)

    表哥吃屎吧

  2. 2016-03-12 16:45 | 小龙 ( 普通白帽子 | Rank:2293 漏洞数:484 | 我就问,还有谁!!!!!!!!!!!!!...)

    rank超过300以上的可以加入风铃面基哦,你还在等什么:)

  3. 2016-03-12 16:45 | Brother ( 实习白帽子 | Rank:69 漏洞数:18 )

    是不是还有第三部!表哥请续局!

  4. 2016-03-12 16:54 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    ...

  5. 2016-03-12 16:57 | 黑色键盘丶 ( 普通白帽子 | Rank:1336 漏洞数:298 | 哥,是孤独风中的一匹狼)

    果然不吃屎

  6. 2016-03-12 17:16 | 情小北 ( 路人 | Rank:19 漏洞数:8 | 那时候我们还年轻,所以任由时光作渡.)

    火前留名

  7. 2016-03-12 21:13 | 兔斯基 ( 路人 | 还没有发布任何漏洞 | 兔子)

    这属于第三方支付安全了呢

  8. 2016-03-14 16:40 | 小龙 ( 普通白帽子 | Rank:2293 漏洞数:484 | 我就问,还有谁!!!!!!!!!!!!!...)

    @首信易支付 真的有礼物吗