当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0188434

漏洞标题:金融安全之东航金融某服务器weblogic反序列化漏洞(已Getshell/可查看用户交易记录)

相关厂商:中国东方航空股份有限公司

漏洞作者: 几何黑店

提交时间:2016-03-24 09:15

修复时间:2016-05-08 09:40

公开时间:2016-05-08 09:40

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-24: 细节已通知厂商并且等待厂商处理中
2016-03-24: 厂商已经确认,细节仅向厂商公开
2016-04-03: 细节向核心白帽子及相关领域专家公开
2016-04-13: 细节向普通白帽子公开
2016-04-23: 细节向实习白帽子公开
2016-05-08: 细节向公众公开

简要描述:

东航金控有限责任公司(简称“东航金融”)是国务院国资委管理的中国东方航空集团公司的全资子公司,注册资本:63.8亿元人民币。作为东航集团金融产业支柱,东航金融于2003年9月12日经上海市工商行政管理部门批准正式成立,由原上海东方航空产权经纪公司改制而成。 东航金融作为东航集团专门经营金融资产的控股型投资公司,通过多年资产整合,目前控股、参股或管理东航集团财务有限责任公司、东航期货有限责任公司、东航国际控股(香港)有限公司、东航国际金融(香港)有限公司、汇添富基金管理有限公司和航联保险经纪有限公司等。目前,东航金融旗下拥有企业银行、国内外期货、境外证券及外汇、人寿保险以及基金管理等投资业务,正积极向资产管理等金融领域深化拓展。

详细说明:

http://180.169.108.241:7001/


help.kiiik.com

QQ图片20160324023623.png


上传大马

QQ图片20160324024607.png


QQ图片20160324024659.png


漏洞证明:

获取数据库信息

QQ图片20160324024857.png


QQ图片20160324020618.png


QQ图片20160324021606.png


QQ图片20160324022251.png


可以看到用户购买证券的交易记录

QQ图片20160324023053.png


QQ图片20160324023322.png


QQ图片20160324023436.png

修复方案:

请自行删除SHELL:http://180.169.108.241:7001/bea_wls_internal/123.jsp

版权声明:转载请注明来源 几何黑店@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-03-24 09:40

厂商回复:

十分感谢!

最新状态:

暂无

漏洞评价:

评价

  1. 2016-03-24 09:47 | 小苹果 ( 普通白帽子 | Rank:225 漏洞数:59 | 只要锄头挥的好,哪有洞挖不到)

    确认好快