当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0126354

漏洞标题:传化集团打包漏洞百万敏感信息泄露(用户、交易、订单、报表、配货、支付、租赁)

相关厂商:tf56.com

漏洞作者: 伯伯

提交时间:2015-07-14 10:03

修复时间:2015-08-28 10:34

公开时间:2015-08-28 10:34

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-14: 细节已通知厂商并且等待厂商处理中
2015-07-14: 厂商已经确认,细节仅向厂商公开
2015-07-24: 细节向核心白帽子及相关领域专家公开
2015-08-03: 细节向普通白帽子公开
2015-08-13: 细节向实习白帽子公开
2015-08-28: 细节向公众公开

简要描述:

传化集团百万用户批量敏感信息泄露

详细说明:

1、逻辑漏洞,任意用户名/手机号注册,修改任意用户密码,无需验证:

1F3A67B9-011B-429A-A74D-773F601C2625.png


随意输入任意用户名、商业类型、组织类型、手机号码等信息,获取验证码后点击注册,使用Burp Suite抓包,因为验证码是四位数字,所以只有10000种组合,暴力破解如下:

350CC2B1-9749-4AD3-A065-CCC76E9E9513.png


A6BE702A-7292-474F-B819-E9B75D55F757.png


完成后,注册用户可直接登录,如下图所示:

9173D64C-9AB8-4A23-AC9E-C9ECE65CAB3F.png


修改任意用户密码,漏洞及流程基本一致不在复述:

A0261F89-6822-4E65-9316-F12E5A5BE554.png


C9633BEC-C245-4A67-8618-15FC602DEDCE.png


2、Sql注入漏洞,导致数据库泄露,如下所示:

4.png


5.png


6.png


3、存储型XSS,导致用户敏感信息泄露,如下所示:
在用户编辑中,随意填写信息,如下所示:

D64D16F3-16C5-43DE-856C-5212006F8682.png


点击保存后,使用Burp Suite抓包后,修改信息,将接受cookie平台的脚本打进去

3CD5E4C4-C3BD-442A-848E-B79E3F710D04.png


访问次URL后,获取用户cookie

AB916E38-3A72-4245-83A5-C86F14E91840.png


4、后台敏感信息泄露
百度或者Google,site:tf56.com,可获取统一portal入口,如下所示:

B3CEA194-0A33-44E2-BEEA-355ABB62173B.png


传化所有E-mail都是使用工号,没有验证码限制,可进行暴力破解(易配货、一卡通、报表系统、财务收款、营销平台、物业管理、租赁系统、支付中心、易货宝),后登陆

D9904BC7-1BA5-48D7-8B71-C02E3E2804BC.png


漏洞证明:

以上已证明

修复方案:

1、上了安全产品,用不起来;
2、招了安全人员,做不起来;
3、买了安全服务,玩不起来;
略过... ...

版权声明:转载请注明来源 伯伯@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-07-14 10:33

厂商回复:

非常感谢

最新状态:

暂无