点击蓝字
关注我们
01
渗透目标
主站:www.xxxx.top
发现问题子域名 redmine.xxx.top
端口:80 443
02
目标成果说明
-
普通用户弱口令
-
交易所机器人账户密码
-
其他项目资产ip泄露
03
漏洞描叙
redmine系统存在未授权,导致内部文档泄露,从中发现大量交易所敏感信息,以及其他项目资产情况
04
漏洞地址
http://redmine.xxx.top/attachments
05
漏洞危害
在通过remine系统未授权的情况下获得内部敏感信息例:官方量化交易机器人账户密码,可以任意买币卖币,操纵市场
06
过程
remine系统未授权
然后查看敏感信息
机器人 1账号:232311xxx 密码:xxxxx
登录地址:http://www.xxxx.ink/#/login
登录成功
查看账户资金
注意:这里可能就会有小伙伴问了,那么这么多比特币、以太坊、EOS能提取出来吗?
这里我讲解下其实按照所有的交易所的内部风控情况一般是提取不出来的(毕竟这么大的量,还是他们内部的机器人肯定是会被发现的),里面的资产也只是机器人进行量化交易的余额,但是可别小看这些资产,虽然不可以提取,但是可以买入、卖出一些资产,可以在短时间内造成一些币价暴跌、暴涨,这些价格的大幅波动可以影响整个交易所甚至整个市场的真实用户,危害极大!!!
本文始发于微信公众号(IDLab):记一次知名交易所的渗透测试
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论