三方支付之钱宝命令执行漏洞/威胁十几万用户数千万资金安全/十几万银行卡、千万信用卡记录泄露

首先声明，我没有改数据，查数据也只查了十条左右证明漏洞存在，没有脱库，拒绝查水表。

威胁如下：

1.多台服务器沦陷，可内网渗透

2.可操作数据库，查看或修改用户信息

3.威胁十几万用户数千万资金安全

4.用户重要信息泄露

5.163企业邮箱信息泄露

6.与银行发送交易的信息泄露

7.FTP服务器存储了用户的身份证照片，进入内网后可获取

钱宝的以下服务器均存在JAVA反序列化漏洞，均可控制。

先来看超级账户系统，个人客户和企业客户都使用这个系统。

这个是可以绑定银行卡，也可以充钱的，和支付宝一个性质

连上服务器

root用户

随便看看

应用部署在这里，我没有传JSP上去，访问下已有的文件验证下

这个文件里有163企业邮箱的信息

登进邮箱瞅一眼，别的啥都没看

这些文件里有和各银行的交易信息配置

这个文件里有数据库信息，不过是加密的

加密了怕啥，分析下代码，明文就算出来了

连上数据库

这个数据库的用户应该挺多的，我只看了当前用户的

118个表

客户银行卡信息，虽然有几位打了码，应该也能分析出来

16W银行卡信息

虚拟账户信息，这个虚拟账户就和支付宝账户的概念差不多的

密码是保存的hash，但是没有加盐，把自己注册的用户的密码改成一个常用密码，再找hash值相同的用户，找出来一堆-.-，想登录谁的用户，改一下数据库的值就可以了。当然我没有这样做。

14W用户

看下账户余额

444个余额大于0

总数是，7146万。。。

看下发送的邮件

可以改别人的密码，当然也可以直接用数据库用户改了-.-

发送的短信，有验证码，转账估计也不是问题了。当然我也没这样做-.-

还有其他的表里有金额，不知道准不准，更吓人

这个表的金额总数是，7个亿。。。我觉得是我算错了

管理员信息，我没有拿这些去登录

再来看看信用卡支付系统商户后台

连上服务器

这是另一台服务器，还是root

跑了好多应用

应用部署在这里，没上传JSP，一样访问现有文件验证下

数据库信息也是加密的，用相同的方法解决

连上数据库

171个表

这是另一个数据库，看看有多少用户

看看信用卡记录，1000W

都是国际友人

这个BB的表是啥

银行卡信息

看看发送的邮件

商户管理员

再来看看其他的服务器，都可以控制

用户在实名认证时需要上传身份证照片，照片保存在FTP服务器中，FTP信息在某个应用的properties文件中，内网后可获取用户身份证照片，没这样做。

见详细说明

打补丁

或者参考：

修复weblogic的JAVA反序列化漏洞的多种方法

http://**.**.**.**/web/13470

如何控制开放HTTPS服务的weblogic服务器

http://**.**.**.**/web/13681

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-03-30 18:43

厂商回复：

非常感谢您的报告。
报告中的问题已确认并复现。
影响的数据：高
攻击成本：中
造成影响：高
综合评级为：高，rank：10
正在联系相关网站管理单位处置。

最新状态：

2016-03-31：漏洞已确认，修复中

1. 2016-03-28 00:29 | autO_pw ( 实习白帽子 | Rank:81 漏洞数:25 | o_O``)

   2

   抢个1楼

   1# 回复此人

2. 2016-03-28 01:27 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚，关注互联网安全)

   3

   NB!

   2# 回复此人

3. 2016-03-30 19:47 | z_zz_zzz ( 普通白帽子 | Rank:249 漏洞数:28 | 诸恶莫作)

   1

   这个，10RANK，还是少了点吧，要是被黑产先控制了呢-.-|||

   3# 回复此人

4. 2016-03-30 19:53 | jye33 ( 普通白帽子 | Rank:1340 漏洞数:310 | 没有什么能够阻挡，我对静静的向往)

   2

   @z_zz_zzz 这个广东省信息安全测评中心不会给白帽子很多rank的。已经不想提交那边的了

   4# 回复此人

5. 2016-03-30 20:04 | z_zz_zzz ( 普通白帽子 | Rank:249 漏洞数:28 | 诸恶莫作)

   1

   @jye33 原来如此，可是这个厂商就是广东的-。-

   5# 回复此人

6. 2016-03-30 20:33 | jye33 ( 普通白帽子 | Rank:1340 漏洞数:310 | 没有什么能够阻挡，我对静静的向往)

   1

   @z_zz_zzz广东那边的基本上不是wooyun厂商的都交给他们了

   6# 回复此人

7. 2016-03-31 09:30 | 深圳市钱宝科技服务有限公司(乌云厂商)

   1

   @z_zz_zzz 非常感谢！这个问题非常严重，公司领导层也很重视，希望以后有长期合作的机会，是否方便提供一下个人联系方式，谢谢！

   7# 回复此人

8. 2016-03-31 09:35 | z_zz_zzz ( 普通白帽子 | Rank:249 漏洞数:28 | 诸恶莫作)

   1

   @深圳市钱宝科技服务有限公司 我的个人资料里有联系方式，找乌云应该可以要到吧^_^

   8# 回复此人

9. 2016-03-31 09:43 | 深圳市钱宝科技服务有限公司(乌云厂商)

   1

   @z_zz_zzz 向wooyun索取了，不知道是否能发过来。有时间来深圳玩，我请客 ^_^。

   9# 回复此人

10. 2016-03-31 09:46 | z_zz_zzz ( 普通白帽子 | Rank:249 漏洞数:28 | 诸恶莫作)

    1

    @深圳市钱宝科技服务有限公司 ^_^

    10# 回复此人

11. 2016-03-31 10:24 | jye33 ( 普通白帽子 | Rank:1340 漏洞数:310 | 没有什么能够阻挡，我对静静的向往)

    1

    @深圳市钱宝科技服务有限公司 你们是才入住过来嘛？

    11# 回复此人

12. 2016-03-31 10:29 | 深圳市钱宝科技服务有限公司(乌云厂商)

    1

    @jye33 见笑了，才入住的，以后多关注一下。以后来深圳可以到我们公司来坐坐，我做东。

    12# 回复此人

13. 2016-03-31 10:37 | jye33 ( 普通白帽子 | Rank:1340 漏洞数:310 | 没有什么能够阻挡，我对静静的向往)

    1

    @深圳市钱宝科技服务有限公司有空一定来

    13# 回复此人

14. 2016-03-31 10:59 | 深圳市钱宝科技服务有限公司(乌云厂商)

    1

    @jye33 @z_zz_zzz 说定了，来深圳联系我，18129959990，微信也是这个。

    14# 回复此人

15. 2016-03-31 11:10 | z_zz_zzz ( 普通白帽子 | Rank:249 漏洞数:28 | 诸恶莫作)

    1

    @深圳市钱宝科技服务有限公司 好的^_^

    15# 回复此人

16. 2016-03-31 11:22 | 小龙 ( 普通白帽子 | Rank:2794 漏洞数:546 | 我就问，还有谁！！！！！！！！！！！！！...)

    1

    @z_zz_zzz 仁兄，私聊我下你qq可以吗，希望与你交流

    16# 回复此人

17. 2016-03-31 11:32 | z_zz_zzz ( 普通白帽子 | Rank:249 漏洞数:28 | 诸恶莫作)

    1

    @小龙 好的

    17# 回复此人

18. 2016-03-31 11:41 | jye33 ( 普通白帽子 | Rank:1340 漏洞数:310 | 没有什么能够阻挡，我对静静的向往)

    1

    @深圳市钱宝科技服务有限公司ok

    18# 回复此人

19. 2016-05-14 21:25 | 这只猪 ( 路人 | Rank:24 漏洞数:6 | )(2009年荣获CCAV首届挖洞大使称号)(★★★...)

    0

    求工具啊表哥！

    19# 回复此人

20. 2016-05-14 22:42 | jye33 ( 普通白帽子 | Rank:1340 漏洞数:310 | 没有什么能够阻挡，我对静静的向往)

    0

    @这只猪 伸手党一般没有理你

    20# 回复此人

21. 2016-05-15 01:25 | 神话般的孩纸 ( 路人 | Rank:25 漏洞数:9 | 少年,放下鼠标！我们一起去拯救世界！)

    0

    良心的运维小哥

    21# 回复此人

22. 2016-05-15 07:40 | 逆天的鱼 ( 路人 | Rank:2 漏洞数:1 | 业余爱好者)

    0

    牛逼轰轰！！

    22# 回复此人

23. 2016-05-15 23:56 | z_zz_zzz ( 普通白帽子 | Rank:249 漏洞数:28 | 诸恶莫作)

    0

    这几天没时间弄，过几天发出来

    23# 回复此人