世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

admin
admin
admin
104946
文章
87
评论
2017年4月22日20:36:28评论329 views字数 235阅读0分47秒阅读模式
摘要

2016-03-02: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-04-16: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(101) 关注此漏洞

缺陷编号: WooYun-2016-180280

漏洞标题: 世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

相关厂商: 世纪联华

漏洞作者: Code Life

提交时间: 2016-03-02 22:46

公开时间: 2016-04-16 22:46

漏洞类型: 敏感信息泄露

危害等级: 中

自评Rank: 10

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 敏感信息泄露 绕过沙盒

27人收藏

漏洞详情

披露状态:

2016-03-02: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-04-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

从照片上不要在意我是几岁的小盆友,更不要猜我的校服(求过,毕竟软键盘打字很累的)

联华超市股份有限公司于一九九一年起在上海开展业务,于十九余年间,以直接经营、加盟经营和并购方式发展成为一家具备全国网点布局、业态最齐全的零售连锁超市公司。于二零零九年十二月三十一日,联华超市及其附属公司(「本集团」)的总门店数目已经达到4,930家(不包括本公司联营公司经营的门店),遍布全国22个省份及直辖市,继续保持中华人民共和国(以下简称「中国」)快速消费品连锁零售行业的领先地位。联华超市于二零零三年六月二十七日以H股形式在香港联合交易所有限公司(以下简称「联交所」)上市,是首家于联交所上市的中国零售连锁超市公司。

详细说明:

在我妈买东西的时候研究了一下,发现十分有趣

问题出在充值机上

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

code 区域 
我们先点自助充值,然后他就会加载一个外部的程序
世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额
在加载完毕之后点返回键(问题在这儿)
世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额
之后它便会销毁窗体进入主界面,但是此时会出现Windows的任务栏,如图
世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额
然后点返回桌面的按钮即可

下面开始深入研究

漏洞证明:

在进入桌面之后本能的想打开软键盘在cmd下一顿乱摸,但发现打开cmd之后根本无法开启软件盘,在经历了一分钟的思考之后发现可以用批处理:

code 区域 
建立为help的密码123的admin账户

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

然后接着思路想查看IP进行远程桌面连接

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

结果一查,天啦撸是内网,难道没戏了吗?

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

但在之后的探索之中发现好戏在后头

(P.S.其实我所在的超市门口是有WiFi的,可以进行端口转发之类的,但由于太麻烦这里就不深入了)

就在我想消灭证据之时,发现了管理员在回收站中留下的宝贵资料:对呀,不能远程连接我们还可以内网漫游啊!

(珍贵资料如下图;附运行结果:)

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

运行VBScript脚本再连接远程共享,还竟然真连上了

收获了两个密码:

code 区域 
hdcrm hdpos
 hdcrmora$ hdpos

于是我大胆的猜测,内网几乎所有的共享都是用这两个弱口令的,于是便试了一试:

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

后来发现真的可行,并且泄露的数据有些可怕,有程序源码,数据库备份,还有内部的资料,如图为成功的服务器:

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

我顺便看了一下一台服务器上的网络邻居,哇好多:

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

接下来我便回归到本地服务器,想看看有什么收获,突然发现了这个:

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

名字取了够直白的吧,应该是执行账户充值时使用的密码。

结下来我便找到了储存用户账户数据的核心数据库,就是刚刚我们成功的那台,我想改改账户余额应该不是问题吧!

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

最后再附赠一个我在系统中找到的软件,好像可以直接修改卡内数据吧,由于我没有带卡,不继续研究:

世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额

就是这样,由于后面有人要充值,点到为止!

修复方案:

你们更专业!

求过~~~~~~~

版权声明:转载请注明来源 Code Life@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:20 (WooYun评价)

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-03-02 22:47 | 疯狗 世纪联华充值机绕过安全沙盒可内网漫游进入数据库修改卡内余额 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    1

    这是我见过最详细的终端机测试案例,洞主牛逼!

  2. 2016-03-02 22:52 | Code Life ( 普通白帽子 | Rank:202 漏洞数:45 | Code Life,Join It!)

    2

    @疯狗 谢谢夸奖,时间不早了我先睡啦,明天还要上课

  3. 2016-03-02 23:07 | ’‘Nome ( 普通白帽子 | Rank:144 漏洞数:31 | 有事请发邮件,,垃圾邮...)

    1

    @疯狗 狗哥这么晚了会审核呢?别人都说审核是神人24小时不用睡觉,还真是这么回事

  4. 2016-03-02 23:08 | ’‘Nome ( 普通白帽子 | Rank:144 漏洞数:31 | 有事请发邮件,,垃圾邮...)

    1

    @Code Life linux的系统?

  5. 2016-03-02 23:10 | Code Life ( 普通白帽子 | Rank:202 漏洞数:45 | Code Life,Join It!)

    1

    @’‘Nome 当然是Windows

  6. 2016-03-02 23:13 | ’‘Nome ( 普通白帽子 | Rank:144 漏洞数:31 | 有事请发邮件,,垃圾邮...)

    1

    @Code Life 好吧先睡觉,我去加班了……

  7. 2016-03-02 23:14 | Code Life ( 普通白帽子 | Rank:202 漏洞数:45 | Code Life,Join It!)

    1

  8. 2016-03-03 07:41 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

    1

    好详细啊

  9. 2016-03-03 08:19 | ’‘Nome ( 普通白帽子 | Rank:144 漏洞数:31 | 有事请发邮件,,垃圾邮...)

    1

    @Code Life 有一点我想不明白,你做绕过沙盒的时候,当时保安在干啥?

  10. 2016-03-03 09:05 | 牛 小 帅 ( 普通白帽子 | Rank:1597 漏洞数:386 | bye)

    1

    @’‘Nome 又不是银行.....没啥保安的

  11. 2016-03-03 12:31 | 浮萍 ( 普通白帽子 | Rank:1077 漏洞数:217 )

    1

    丹尼斯、大润发、世纪联华 接下来是哪里

  12. 2016-03-03 13:01 | 牛 小 帅 ( 普通白帽子 | Rank:1597 漏洞数:386 | bye)

    1

    @浮萍 家乐福呀 沃尔玛........

  13. 2016-03-03 16:51 | Code Life ( 普通白帽子 | Rank:202 漏洞数:45 | Code Life,Join It!)

    1

    小 帅

  14. 2016-03-03 17:03 | Code Life ( 普通白帽子 | Rank:202 漏洞数:45 | Code Life,Join It!)

    1

    他们以为我是工作人员

  15. 2016-03-03 17:31 | ’‘Nome ( 普通白帽子 | Rank:144 漏洞数:31 | 有事请发邮件,,垃圾邮...)

    1

    @Code Life 求校服!!!

  16. 2016-03-04 13:20 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高,标题一定得屌)

    1

    洞主思路牛逼!漏洞写的很详细,是一部好教材

  17. 2016-03-07 23:00 | : ) ( 实习白帽子 | Rank:67 漏洞数:10 | 知足常乐,心态要好)

    1

    为什么你们都看得到?不是还没公开吗?@路人毛

  18. 2016-03-07 23:20 | Code Life ( 普通白帽子 | Rank:202 漏洞数:45 | Code Life,Join It!)

    1

    我是洞主我看的到,疯狗是审核漏洞的他看的到,路人毛只是发挥一下幽默而已(我方了)@: )

  19. 2016-04-02 00:35 | 表哥 ( 实习白帽子 | Rank:42 漏洞数:11 | 他依然帅气。)

    1

    @Code Life 洞主牛逼

  20. 2016-04-02 01:36 | zsmj ( 普通白帽子 | Rank:243 漏洞数:34 | 蛛丝马迹!)

    1

    原来是这样子的

  21. 2016-04-20 20:26 | 乳酸君、 ( 路人 | Rank:20 漏洞数:6 | 看,漏洞)

    0

    小学生用iphone?

  22. 2016-04-20 21:14 | Code Life ( 普通白帽子 | Rank:202 漏洞数:45 | Code Life,Join It!)

    0

    @乳酸君、 你也暴露了

  23. 2016-04-25 19:06 | V1ct0r ( 普通白帽子 | Rank:375 漏洞数:81 | 生活不止眼前的苟且,还有黑客和远方.)

    1

    我看到了你的红领巾 膜

  24. 2016-04-26 10:04 | 奋斗的阿呆 ( 普通白帽子 | Rank:151 漏洞数:31 | 一二三,不许动!)

    0

    求后面等充值小伙伴的心理阴影面积(前面那二货把机器弄坏了,还拍照,拍照)

  25. 2016-04-26 19:49 | Can ( 普通白帽子 | Rank:116 漏洞数:36 | 安全培训联系QQ23319509)

    0

    目测洞主高中生

  26. 2016-04-26 20:36 | Code Life ( 普通白帽子 | Rank:202 漏洞数:45 | Code Life,Join It!)

    0

    @Can 高一

  27. 2016-04-30 12:38 | 乳酸君、 ( 路人 | Rank:20 漏洞数:6 | 看,漏洞)

    0

    @Code Life 我咋了?

  28. 2016-04-30 15:27 | Code Life ( 普通白帽子 | Rank:202 漏洞数:45 | Code Life,Join It!)

    0

    @乳酸君、 没事,我只是说我知道了你的wooyun ID

  29. 2016-04-30 21:05 | 乳酸君、 ( 路人 | Rank:20 漏洞数:6 | 看,漏洞)

    0

    @Code Life 。。。这是何等蛋疼,直接问不就好。。。

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin