当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0189772

漏洞标题:三方支付之钱宝命令执行漏洞/威胁十几万用户数千万资金安全/十几万银行卡、千万信用卡记录泄露

相关厂商:深圳市钱宝科技服务有限公司

漏洞作者: z_zz_zzz

提交时间:2016-03-27 23:19

修复时间:2016-05-14 18:50

公开时间:2016-05-14 18:50

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心,深圳市钱宝科技服务有限公司)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-27: 细节已通知厂商并且等待厂商处理中
2016-03-30: 厂商已经确认,细节仅向厂商公开
2016-04-09: 细节向核心白帽子及相关领域专家公开
2016-04-19: 细节向普通白帽子公开
2016-04-29: 细节向实习白帽子公开
2016-05-14: 细节向公众公开

简要描述:

深圳市钱宝科技服务有限公司(简称钱宝)是中国首批从事第三方支付的企业,专业提供电子支付服务和收款解决方案,主要业务为跨境外汇兑换、互联网支付(信用卡收款和海外本地收款)、银行卡收单三大产品,注册资本为1亿元人民币。总部设在深圳,在北京、上海、广州、武汉、天津、杭州、南京、济南、重庆、青岛、大连、宁波、厦门等地设有分部。公司现有超过1000名员工。服务范围覆盖中国各大中城市以及香港、澳门地区,马来西亚、菲律宾、新加坡等亚太地区国家以及美洲、欧洲和非洲。2011年以来,钱宝陆续获得由中国人民银行颁发的互联网支付牌照和银行卡收单牌照,并成为中国大陆首家Visa QSP和国家外汇管理局认可的首批跨境电子商务外汇兑换支付业务试点单位。日处理订单超过十万笔,交易量突破百亿。
服务器存在命令执行漏洞,可查看用户信息、修改用户密码,严重威胁用户资金安全与隐私。

详细说明:

首先声明,我没有改数据,查数据也只查了十条左右证明漏洞存在,没有脱库,拒绝查水表。
威胁如下:
1.多台服务器沦陷,可内网渗透
2.可操作数据库,查看或修改用户信息
3.威胁十几万用户数千万资金安全
4.用户重要信息泄露
5.163企业邮箱信息泄露
6.与银行发送交易的信息泄露
7.FTP服务器存储了用户的身份证照片,进入内网后可获取
钱宝的以下服务器均存在JAVA反序列化漏洞,均可控制。

Snap257.png


先来看超级账户系统,个人客户和企业客户都使用这个系统。

Snap191.png


Snap195.png


这个是可以绑定银行卡,也可以充钱的,和支付宝一个性质

Snap248.png


连上服务器

Snap192.png


root用户

Snap193.png


随便看看

Snap194.png


Snap196.png


应用部署在这里,我没有传JSP上去,访问下已有的文件验证下

Snap198.png


Snap197.png


这个文件里有163企业邮箱的信息

Snap199.png


登进邮箱瞅一眼,别的啥都没看

Snap200.png


Snap201.png


这些文件里有和各银行的交易信息配置

Snap203.png


这个文件里有数据库信息,不过是加密的

Snap204.png


加密了怕啥,分析下代码,明文就算出来了
连上数据库

Snap205.png


这个数据库的用户应该挺多的,我只看了当前用户的
118个表

Snap206.png


客户银行卡信息,虽然有几位打了码,应该也能分析出来

Snap207.png


16W银行卡信息

Snap208.png


虚拟账户信息,这个虚拟账户就和支付宝账户的概念差不多的
密码是保存的hash,但是没有加盐,把自己注册的用户的密码改成一个常用密码,再找hash值相同的用户,找出来一堆-.-,想登录谁的用户,改一下数据库的值就可以了。当然我没有这样做。

Snap210.png


14W用户

Snap209.png


看下账户余额

Snap211.png


444个余额大于0

Snap212.png


总数是,7146万。。。

Snap214.png


看下发送的邮件

Snap217.png


Snap218.png


可以改别人的密码,当然也可以直接用数据库用户改了-.-
发送的短信,有验证码,转账估计也不是问题了。当然我也没这样做-.-

Snap219.png


Snap220.png


还有其他的表里有金额,不知道准不准,更吓人

Snap221.png


这个表的金额总数是,7个亿。。。我觉得是我算错了

Snap223.png


管理员信息,我没有拿这些去登录

Snap258.png


再来看看信用卡支付系统商户后台

Snap224.png


连上服务器

Snap225.png


这是另一台服务器,还是root

Snap226.png


跑了好多应用

Snap227.png


应用部署在这里,没上传JSP,一样访问现有文件验证下

Snap228.png


Snap229.png


数据库信息也是加密的,用相同的方法解决
连上数据库

Snap230.png


171个表

Snap231.png


这是另一个数据库,看看有多少用户

Snap232.png


看看信用卡记录,1000W

Snap233.png


都是国际友人

Snap234.png


这个BB的表是啥

Snap235.png


银行卡信息

Snap237.png


Snap238.png


看看发送的邮件

Snap239.png


Snap240.png


商户管理员

Snap241.png


再来看看其他的服务器,都可以控制

Snap243.png


Snap244.png


Snap245.png


Snap246.png


Snap247.png


Snap249.png


Snap250.png


Snap255.png


Snap256.png


用户在实名认证时需要上传身份证照片,照片保存在FTP服务器中,FTP信息在某个应用的properties文件中,内网后可获取用户身份证照片,没这样做。

漏洞证明:

见详细说明

修复方案:

打补丁
或者参考:
修复weblogic的JAVA反序列化漏洞的多种方法
http://**.**.**.**/web/13470
如何控制开放HTTPS服务的weblogic服务器
http://**.**.**.**/web/13681

版权声明:转载请注明来源 z_zz_zzz@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-03-30 18:43

厂商回复:

非常感谢您的报告。
报告中的问题已确认并复现。
影响的数据:高
攻击成本:中
造成影响:高
综合评级为:高,rank:10
正在联系相关网站管理单位处置。

最新状态:

2016-03-31:漏洞已确认,修复中

漏洞评价:

评价

  1. 2016-03-28 00:29 | autO_pw ( 实习白帽子 | Rank:71 漏洞数:21 | ด้้้ด้้้้้็็็็็้้้้้...)

    抢个1楼

  2. 2016-03-28 01:27 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  3. 2016-03-30 19:47 | z_zz_zzz ( 普通白帽子 | Rank:249 漏洞数:28 | 诸恶莫作)

    这个,10RANK,还是少了点吧,要是被黑产先控制了呢-.-|||

  4. 2016-03-30 19:53 | jye33 ( 普通白帽子 | Rank:1141 漏洞数:257 | 没有什么能够阻挡,我对静静的向往)

    @z_zz_zzz 这个广东省信息安全测评中心不会给白帽子很多rank的。已经不想提交那边的了

  5. 2016-03-30 20:04 | z_zz_zzz ( 普通白帽子 | Rank:249 漏洞数:28 | 诸恶莫作)

    @jye33 原来如此,可是这个厂商就是广东的-。-

  6. 2016-03-30 20:33 | jye33 ( 普通白帽子 | Rank:1141 漏洞数:257 | 没有什么能够阻挡,我对静静的向往)

    @z_zz_zzz广东那边的基本上不是wooyun厂商的都交给他们了

  7. 2016-03-31 09:30 | 深圳市钱宝科技服务有限公司(乌云厂商)

    @z_zz_zzz 非常感谢!这个问题非常严重,公司领导层也很重视,希望以后有长期合作的机会,是否方便提供一下个人联系方式,谢谢!

  8. 2016-03-31 09:35 | z_zz_zzz ( 普通白帽子 | Rank:249 漏洞数:28 | 诸恶莫作)

    @深圳市钱宝科技服务有限公司 我的个人资料里有联系方式,找乌云应该可以要到吧^_^

  9. 2016-03-31 09:43 | 深圳市钱宝科技服务有限公司(乌云厂商)

    @z_zz_zzz 向wooyun索取了,不知道是否能发过来。有时间来深圳玩,我请客 ^_^。

  10. 2016-03-31 09:46 | z_zz_zzz ( 普通白帽子 | Rank:249 漏洞数:28 | 诸恶莫作)

    @深圳市钱宝科技服务有限公司 ^_^

  11. 2016-03-31 10:24 | jye33 ( 普通白帽子 | Rank:1141 漏洞数:257 | 没有什么能够阻挡,我对静静的向往)

    @深圳市钱宝科技服务有限公司 你们是才入住过来嘛?

  12. 2016-03-31 10:29 | 深圳市钱宝科技服务有限公司(乌云厂商)

    @jye33 见笑了,才入住的,以后多关注一下。以后来深圳可以到我们公司来坐坐,我做东。

  13. 2016-03-31 10:37 | jye33 ( 普通白帽子 | Rank:1141 漏洞数:257 | 没有什么能够阻挡,我对静静的向往)

    @深圳市钱宝科技服务有限公司有空一定来

  14. 2016-03-31 10:59 | 深圳市钱宝科技服务有限公司(乌云厂商)

    @jye33 @z_zz_zzz 说定了,来深圳联系我,18129959990,微信也是这个。

  15. 2016-03-31 11:10 | z_zz_zzz ( 普通白帽子 | Rank:249 漏洞数:28 | 诸恶莫作)

    @深圳市钱宝科技服务有限公司 好的^_^

  16. 2016-03-31 11:22 | 小龙 ( 普通白帽子 | Rank:2312 漏洞数:489 | 我就问,还有谁!!!!!!!!!!!!!...)

    @z_zz_zzz 仁兄,私聊我下你qq可以吗,希望与你交流

  17. 2016-03-31 11:32 | z_zz_zzz ( 普通白帽子 | Rank:249 漏洞数:28 | 诸恶莫作)

    @小龙 好的

  18. 2016-03-31 11:41 | jye33 ( 普通白帽子 | Rank:1141 漏洞数:257 | 没有什么能够阻挡,我对静静的向往)

    @深圳市钱宝科技服务有限公司ok