当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0125678

漏洞标题:夏款快网络贷款平台存在漏洞可泄漏大量贷款信息与源码等(同服厦门软媒科技受到波及)

相关厂商:夏款快

漏洞作者: 二愣子

提交时间:2015-07-10 20:04

修复时间:2015-08-24 20:06

公开时间:2015-08-24 20:06

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

软媒公司成立于2014年,由一群怀抱梦想与激情的80后90后年轻软件工程师与设计师组成,从成立之初始终秉持以客户为中心,以奋斗者为本,基于客户需求持续创新,赢得了客户的尊重和信赖。过去若干年,软媒抓住微信及相关联行业高速发展带来的机遇,成为了优先设计微信平台各类开发,运营的团队。稳健成长为成熟的企业,业务围也遍布各地。
软媒网络科技主要从事网站开发(主力于高端站点建设,H5页面建设),微信平台开发,公众平台运营,旗下拥有两大自媒体公众号:厦门本地生活、最厦门。
其旁站www.xkkxkk.com存在SQL注入,导致整个服务器被入侵。泄露大量贷款信息

详细说明:

IP地址:203.195.137.40
1、旁站www.xkkxkk.com是一家专门从事贷款的网络平台,此战存在SQL注入
注入点:http://www.xkkxkk.com/newlist.php?id=253

1.png


2、得到mysql的root密码weixin1234

2.png


3、得到后台www.xkkxkk.com用户名及密码,登录后台

3.png


admin
YEweiwei123456
登录后台,发现泄漏大量用户信息:银行账号、身份证拍照信息、电话等等

4.png


5、getshell
网站路径泄漏

5.png


利用phpmyadmin写入一句话
一句话shell:
http://www.xkkxkk.com/admin/check_login.php 密码jjy

6.png


服务器上许多网站源码泄露

7.png


8.png


包括厦门软媒科技的源码~~~泄露多个网站数据库

9.png


6、远程桌面

10.png


system权限
添加用户

11.png


漏洞证明:

本人在测试过程中下载的东西已经全部删除,多谢合作

修复方案:

过滤

版权声明:转载请注明来源 二愣子@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝