点击蓝字
关注我们
01
渗透目标
主站:www.xxxx.top
发现问题子域名 redmine.xxx.top
端口:80 443
02
目标成果说明
-
普通用户弱口令
-
交易所机器人账户密码
-
其他项目资产ip泄露
03
漏洞描叙
redmine系统存在未授权,导致内部文档泄露,从中发现大量交易所敏感信息,以及其他项目资产情况
04
漏洞地址
http://redmine.xxx.top/attachments
05
漏洞危害
在通过remine系统未授权的情况下获得内部敏感信息例:官方量化交易机器人账户密码,可以任意买币卖币,操纵市场
06
过程
remine系统未授权
然后查看敏感信息
机器人 1账号:232311xxx 密码:xxxxx
登录地址:http://www.xxxx.ink/#/login
登录成功
查看账户资金
注意:这里可能就会有小伙伴问了,那么这么多比特币、以太坊、EOS能提取出来吗?
这里我讲解下其实按照所有的交易所的内部风控情况一般是提取不出来的(毕竟这么大的量,还是他们内部的机器人肯定是会被发现的),里面的资产也只是机器人进行量化交易的余额,但是可别小看这些资产,虽然不可以提取,但是可以买入、卖出一些资产,可以在短时间内造成一些币价暴跌、暴涨,这些价格的大幅波动可以影响整个交易所甚至整个市场的真实用户,危害极大!!!
本文始发于微信公众号(IDLab):记一次知名交易所的渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论