汇通融资租赁某系统GetShell可影响千万账户数据

admin

139803
文章

114
评论

2017年4月19日14:54:29评论307 views字数 221阅读0分44秒阅读模式

摘要

2016-04-06：积极联系厂商并且等待厂商认领中，细节不对外公开
2016-05-21：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(0) 关注此漏洞

缺陷编号： WooYun-2016-193202

漏洞标题：汇通融资租赁某系统GetShell可影响千万账户数据

漏洞作者：路人甲

提交时间： 2016-04-06 19:25

公开时间： 2016-05-21 19:30

漏洞类型：系统/服务补丁不及时

危害等级：高

自评Rank： 15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

0人收藏

漏洞详情

披露状态：

2016-04-06：积极联系厂商并且等待厂商认领中，细节不对外公开
2016-05-21：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

汇通融资租赁（上海）有限公司是一家经上海市商务委员会批准成立，专业从事融资租赁业务的中外合资企业，首期注册资本1.7亿元人民币，总部设在上海陆家嘴金融贸易区。

详细说明：

mask 区域

1.http://**.**.**/

系统归属证明：

1、程序logo文件：

2、IP地址归属上海。

3、汇通公司业务与数据匹配：http://htleasing.cn/About.aspx?CateId=2

反序列getshell

mask 区域

1.http://**.**.**/bea_wls_internal/test.jsp

密码：

mask 区域

*****11*****

JDBC：

code 区域

<url>jdbc:oracle:thin:@10.10.136.238:1521:ORCL</url>
     <driver-name>oracle.jdbc.OracleDriver</driver-name>
     <properties>
       <property>
         <name>user</name>
         <value>arap</value>
       </property>
     </properties>
     <password-encrypted>{AES}ZG/t762YOPhnaQoWdWolT4RKgCwgT3BXME/DcfENQ6U=</password-encrypted>

code 区域

TBL_ACCOUNT_INFO 63034527
 TBL_VOUCHER_ENTRY 50778863
 TBL_ACCOUNT_INFO20151111 48434306
 TBL_ACCOUNT_INFO20151002 45203844
 TBL_VOUCHER_ASSRCD 39566655
 TLA_TXN_AMT 32028385
 TBL_ACCOUNT_INFO20150402 26157146
 TBL_ACCOUNT_INFO20150303 23916619
 TLA_TXN_LOG 21815789
 TBL_VOUCHER_INFO 21747576
 TBL_RECEIPTSORDER 6108632
 TBL_VOUCHER_ASSRCDEAS 3250014
 TLOG_TXN_AMT 2881941
 TBL_VOUCHER_ENTRY_CLLECT 2715770
 TBL_VOUCHER_ENTRYEAS 1805284
 TBL_CRON_TASK_JOB_LOG 1686851
 TBLVOUCHERENTRYCLLECT20150209 1249357
 TBL_PAYMENTORDER 753928
 TBL_CUSTOMER_INFO 696151
 TBL_VOUCHER_INFOEAS 260296
 CHENGJIANHE2 174774
 TBL_SUPPLIER_INFO 147655
 TBL_VOUCHER_COLLECT 137755
 JIEQINGPINGZH 123607
 TBL_RECEIPTSORDER_COLLECT 85075
 TLA_TXN_LOG_BAK1 79900
 TLR_LOGIN_LOG 36104
 TLA_TXN_LOG_BAK 25594
 CHENGJIANHE 21476

漏洞证明：

修复方案：

更新补丁

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：20 (WooYun评价)

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

汇通融资租赁某系统GetShell可影响千万账户数据

漏洞概要关注数(0) 关注此漏洞

缺陷编号： WooYun-2016-193202

漏洞标题：汇通融资租赁某系统GetShell可影响千万账户数据

相关厂商：汇通融资租赁

漏洞作者：路人甲

提交时间： 2016-04-06 19:25

公开时间： 2016-05-21 19:30

漏洞类型：系统/服务补丁不及时

危害等级：高

自评Rank： 15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

漏洞评价：

漏洞评价(共0人评价):

登陆后才能进行评分

评价

WooYun.org-优酷多个分站存在SSRF漏洞大礼包

WooYun.org-优特捷某内部邮箱账户外泄涉及大量敏感信息(多家合作单位躺枪)

WooYun.org-某网平行权限漏洞（影响所有使用用户）

Bypass分享 | 形而上学，不行退学的一句话

格兰仕千万数据库信息泄露

3399游戏源码下载

WEFANS喂饭后台弱口令

国家电网某充电APP系统Getshell涉及大量用户敏感信息

威锋网游戏站存在SQL注入（含多重绕过+编码）

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

发表评论

在线咨询

微信

漏洞概要 关注数(0) 关注此漏洞

缺陷编号： WooYun-2016-193202

漏洞标题： 汇通融资租赁某系统GetShell可影响千万账户数据

相关厂商： 汇通融资租赁

漏洞作者： 路人甲

提交时间： 2016-04-06 19:25

公开时间： 2016-05-21 19:30

漏洞类型： 系统/服务补丁不及时

危害等级： 高

自评Rank： 15

漏洞状态： 未联系到厂商或者厂商积极忽略

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(0) 关注此漏洞

漏洞标题：汇通融资租赁某系统GetShell可影响千万账户数据

相关厂商：汇通融资租赁

漏洞作者：路人甲

漏洞类型：系统/服务补丁不及时

危害等级：高

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签：无

版权声明：转载请注明来源路人甲@乌云

漏洞评价(共0人评价):

登陆后才能进行评分