POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

admin
admin
admin
101095
文章
87
评论
2017年5月5日15:26:34评论497 views字数 240阅读0分48秒阅读模式
摘要

2016-03-12: 细节已通知厂商并且等待厂商处理中
2016-03-14: 厂商已经确认,细节仅向厂商公开
2016-03-24: 细节向核心白帽子及相关领域专家公开
2016-04-03: 细节向普通白帽子公开
2016-04-13: 细节向实习白帽子公开
2016-04-28: 细节向公众公开

漏洞概要 关注数(22) 关注此漏洞

缺陷编号: WooYun-2016-183841

漏洞标题: POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

相关厂商: 首信易支付

漏洞作者: 小龙

提交时间: 2016-03-12 16:42

公开时间: 2016-04-28 10:30

漏洞类型: 文件上传导致任意代码执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 任意

1人收藏

漏洞详情

披露状态:

2016-03-12: 细节已通知厂商并且等待厂商处理中
2016-03-14: 厂商已经确认,细节仅向厂商公开
2016-03-24: 细节向核心白帽子及相关领域专家公开
2016-04-03: 细节向普通白帽子公开
2016-04-13: 细节向实习白帽子公开
2016-04-28: 细节向公众公开

简要描述:

/bugs/wooyun-2016-0174071

通过此漏洞可以得知此网站的用户数据

详细说明:

看到厂商的公告

https://www.beijing.com.cn/pages/stage/web/Declaration%20letter.jsp

POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

发现厂商对安全很重视,毕竟进去里面可以冲话费,QB。作为第三方平台疏忽的话就非常麻烦了。

厂商是否可以来个20rank+个小礼物呢 ^_^ 码字码的真累。。

1# 爆破

pay.yizhifubj.com/merchant/login.jsp

当然爆破这个洞。。 修复起来很头痛。例如用户员工不上线,或许员工离职

会留下一些敏感信息

爆破出

虽然有验证码,但是没校验次数

爆破密码123456

code 区域 
request payload status error timeout length comment
 22 chenchen 200 false false 5116 
 42 chenhua 200 false false 6341 
 94 chenyan 200 false false 4693 
 353 litingting 200 false false 4693 
 737 wangshuai 200 false false 5628 
 853 xuli 200 false false 4693 
 985 zhangbin 200 false false 3608 
 1016 zhanghui 200 false false 5488 
 1039 zhangliang 200 false false 3610 
 1106 zhangying 200 false false 5256 
 1118 zhangzheng 200 false false 4682

挺多的。不一一测试了

登录 wangshuai的看看

POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

发现操作员这里没越权没注入。。

这个系统做的挺好

POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

但是 主站就不是这么幸运了

在上传资料处任意上传

POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

拿到webshell

POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

https://www.yizhifubj.com/resources/2016-03-12/bc648818-c087-4199-be1d-ecfd766763ea.jsp

发现有很多资料

/usr/local/tomcat/FileDir/resources/2016-03-12

上传目录的都删除吧。管理

971个目录,当然这只是日期格式

例如今天3月12日

那么a和b用户都在同一天上传的话就是上传到3月12日目录里,而不是用户的子目录

POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

105个目录

看看

POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

俩不一样的。这样审核可能知道啥意思了把。。

POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

还有各种cer证书,包括vpn的证书

/usr/local/tomcat/

POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

POS机安全之首信易设计逻辑缺陷到Getshell(泄露将近579万敏感信息用户身份证严重可操作余额)

附上仁兄身份证图。审核看完记得打马赛克哦。。。

不深入了。基本上整站都在我控制之中了。。

漏洞证明:

修复呗。。

修复方案:

1:爆破: 验证码只校验3次,3次错误封锁账号,或者用手机号码登录

2:检查上传的后缀名,例如cer,php。jsp都不能传

版权声明:转载请注明来源 小龙@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2016-03-14 10:30

厂商回复:

非常感谢

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-03-12 16:43 | ’‘Nome ( 普通白帽子 | Rank:144 漏洞数:31 | 有事请发邮件,,垃圾邮...)

    1

    表哥吃屎吧

  2. 2016-03-12 16:45 | 小龙 ( 普通白帽子 | Rank:2794 漏洞数:546 | 我就问,还有谁!!!!!!!!!!!!!...)

    1

    rank超过300以上的可以加入风铃面基哦,你还在等什么:)

  3. 2016-03-12 16:45 | Brother ( 实习白帽子 | Rank:78 漏洞数:24 )

    1

    是不是还有第三部!表哥请续局!

  4. 2016-03-12 16:54 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    1

    ...

  5. 2016-03-12 16:57 | 黑色键盘丶 ( 普通白帽子 | Rank:2413 漏洞数:511 | 哥,是孤独风中的一匹狼)

    1

    果然不吃屎

  6. 2016-03-12 17:16 | 情小北 ( 路人 | Rank:21 漏洞数:9 | 那时候我们还年轻,所以任由时光作渡.)

    1

    火前留名

  7. 2016-03-12 21:13 | 兔斯基 ( 路人 | 还没有发布任何漏洞 | 兔子)

    1

    这属于第三方支付安全了呢

  8. 2016-03-14 16:40 | 小龙 ( 普通白帽子 | Rank:2794 漏洞数:546 | 我就问,还有谁!!!!!!!!!!!!!...)

    1

    @首信易支付 真的有礼物吗

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin