当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0209158

漏洞标题:支付安全之支付通多处漏洞打包(shell/sql注入/撞库/账号泄露/大量用户身份证照泄露)

相关厂商:北京海科融通支付服务股份有限公司

漏洞作者: 千机

提交时间:2016-05-16 12:10

修复时间:2016-07-03 17:10

公开时间:2016-07-03 17:10

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-16: 细节已通知厂商并且等待厂商处理中
2016-05-19: 厂商已经确认,细节仅向厂商公开
2016-05-29: 细节向核心白帽子及相关领域专家公开
2016-06-08: 细节向普通白帽子公开
2016-06-18: 细节向实习白帽子公开
2016-07-03: 细节向公众公开

简要描述:

RT

详细说明:

首先是Qpos的后台撞库,成功撞出一堆账户

http://**.**.**.**/login.jhtml


18530001041	qq7635382	5922
18705217477	a258023	        5922
13838218237	z363868265	5922
13566773764	230563hu	5922
18742216333	5895517a	5922
13390783599	kgd5563986	5922
15573885218	lsj773708	5922
15080230223	1538677kk	5922
18701080508	a16898000	5922
15966721233	liu890426	5922
18605912350	xiong8877	5922
18559313030	savero1990	5922
18689732525	mxx331998	5922
18608890782	wxf4758064	5922
15938718517	wo1267891	5922
18790283505	duibuqi51845	5922
15896522701	910827mw	5922
18681777789	zg820326	5922


239.png


可以看到所有刷pos机的记录和结算记录

240.png


241.png


242.png


然后是账号泄露
翻github看到的

https://**.**.**.**/grootzhao/groot/blob/c36a7f3ba2885c24a681b65c8bdf1c2c11f40749/base-web/src/main/resources/log4j.properties


hkrt_qpos@**.**.**.**      hkrtqpos


243.png


貌似是个发重置密码的邮箱,,一大堆东西。貌似重置了几个系统的密码,可惜看了下没找到重置密码地方。不懂业务流程

244.png


245.png


然后是getshell

http://**.**.**.**/zxsale-sys2/login.action


存在S2-019

246.png


菜刀成功连上去

http://**.**.**.**/zxsale-sys2/bak.jsp   Cknife


247.png


找到数据库配置文件

248.png


用菜刀连接没成功,于是找键盘表哥要了个jsp大马,直接连上数据库

http://**.**.**.**/zxsale-sys2/aa.jsp


解了几个出来发现权限不全,终于解出了一个超级管理员的账号

luhai  123qwe


影响大量的代理商

250.png


可以使一大堆pos设备直接不能使用

251.png


大量用户的支付信息及用户信息

252.png


253.png


内部员工的信息和权限

254.png


然后是sql注入
存在于这个后台的代理管理搜索处

255.png


256.png


available databases [8]:
[*] icardpay_auth
[*] icardpay_zhangxb
[*] information_schema
[*] micro_credit
[*] mr_pos
[*] mysql
[*] test
[*] zhongxin


然后找到这个后台

http://**.**.**.**/doLogin.do


。。卧槽,写到这里突然不能上传图片了。我不要重新写过。审核原谅我接下来没有图片
接下来没有图片了。
这个后台商家管理平台。读之前的数据库找到了这个后台的用户名密码
可惜解不出来是什么加密。所以不了了之
贴几个,有知道是什么加密的吗

13168864462   XjrEmE9eibI=
18311000890    zusIG+EE0ds=
13161188680    O1DoXX89S9U=


然后是用户的证件照泄露

**.**.**.**:8080/


../
UserPhotoFile/                                     15-May-2016 22:37       -
jqb-authphotos/                                    08-May-2015 11:43       -
jqb-p2pphotos/                                     15-May-2016 21:41       -
jqbfile/                                           03-Aug-2015 09:37       -


第一个点不开,第二个里面有部分的认证照片。全是身份证证件照什么的,
第三个千万别在火狐浏览器打开,,数据太多直接卡死。。。
全是各种照片
第四个是每日的报表,昨天的都还有
暂时就这些了

**.**.**.**:8080/

漏洞证明:

256.png

修复方案:

改改改

版权声明:转载请注明来源 千机@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2016-05-19 17:09

厂商回复:

CNVD未直接复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。

最新状态:

暂无

漏洞评价:

评价