乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2015-02-04: 细节已通知厂商并且等待厂商处理中 2015-02-04: 厂商已经确认,细节仅向厂商公开 2015-02-14: 细节向核心白帽子及相关领域专家公开 2015-02-24: 细节向普通白帽子公开 2015-03-06: 细节向实习白帽子公开 2015-03-20: 厂商已经修复漏洞并主动公开,细节向公众公开
挖财-创立于2009的理财App,致力于做老百姓的资产管家。挖财理财超市,产品期限七天至一年,随意选择。三道十重风控,招商银行资金托管,银行级风控团队,发行产品,无一逾期,投资额已破百亿。
理财超市:http://8.wacaiyun.com/(挖财重要分站)
站点存在Struts2安全漏洞Struts测试入口:http://8.wacai.com/finance/licai/open.action直接可以获取webshell权限
Getshell:http://8.wacaiyun.com/1.jsp
站点影响如下:1、获取到各大分页面权限
小分:finance/index.jsp 基金推荐站页权限/wap/index.html 我的资产管家(更多请自己排查)
2、某app数据库链接信息3、其余更多数据库信息4、影响站点重要配置信息
某APP数据库信息(好多处)
callback.domain=http://www.wacaiyun.com/sina.weibo.appKey=208419652sina.weibo.appSecret=34ade83c85a660ba642f7112690e4883#memcachememcached.servers=192.168.1.246\:11211 192.168.1.246\:11212#redisredis.servers=192.168.1.246\:6380#信用卡数据用的rediscredit.redis.servers=192.168.1.246\:6379##############################################ibatis的数据库连接 - wacaijdbc.op.url=jdbc:mysql://192.168.1.246:3310/wac?useUnicode=true&characterEncoding=utf8&useOldAliasMetadataBehavior=true&zeroDateTimeBehavior=convertToNulljdbc.common.username=JmZeMG5lOnIFF1USjdbc.common.password=JmZeMG5lOnIFF1USjdbc.common.maxconn=2#ibatis的数据库连接 - commonjdbc.common.url=jdbc:mysql://192.168.1.248:3306/wac_common?useUnicode=true&characterEncoding=utf8&useOldAliasMetadataBehavior=true&zeroDateTimeBehavior=convertToNulljdbc.common.username=JmZeMG5lOnIFF1USjdbc.common.password=JmZeMG5lOnIFF1USjdbc.common.maxconn=2#ibatis的数据库连接 - wacaijdbc.wacai.url=jdbc:mysql://192.168.1.248:3306/wac_op?useUnicode=true&characterEncoding=utf8&useOldAliasMetadataBehavior=true&zeroDateTimeBehavior=convertToNulljdbc.wacai.username=JmZeMG5lOnIFF1USjdbc.wacai.password=JmZeMG5lOnIFF1USjdbc.wacai.maxconn=2#ibatis的数据库连接 - userjdbc.user.url=jdbc:mysql://192.168.1.248:3306/wac_user?useUnicode=true&characterEncoding=utf8&useOldAliasMetadataBehavior=true&zeroDateTimeBehavior=convertToNulljdbc.user.username=JmZeMG5lOnIFF1USjdbc.user.password=JmZeMG5lOnIFF1USjdbc.user.maxconn=2#ibatis的数据库连接 - creditjdbc.credit.url=jdbc:mysql://192.168.1.248:3306/wac_crt?zeroDateTimeBehavior=convertToNull&useUnicode=true&characterEncoding=utf8&useOldAliasMetadataBehavior=truejdbc.credit.username=JmZeMG5lOnIFF1USjdbc.credit.password=JmZeMG5lOnIFF1USjdbc.credit.maxconn=2############################################## bi日志收集服务器bi.log.server=192.168.1.246bi.log.port=2800bi.log.port2=2801finance.bt.support.credit.banks=工商银行,农业银行,中国银行,建设银行,招商银行,兴业银行,光>大银行,交通银行,广发银行,邮政储蓄银行,finance.bt.support.debit.banks=工商银行,农业银行,中国银行,建设银行,招商银行,兴业银行,光大银行,广发银行,邮政储蓄银行,#弘康配置#协议地址hongkang.protocal.url=http://114.247.101.220/taobao/wacai#接口超时设置hongkang.protocal.timeout=70000#本地idhongkang.product.itemId=100#弘康产品信息hongkang.product.skuRiskCode=wac_onlinehongkang.product.productCode=5hongkang.product.productName=在线理财#itemId=100对应的名称,只能增加,不能删除hongkang.product.showName_100=弘康在线理财#fund123 openAccountfund123.requesttoken.url=https://account.fund123.cn/oauth/request_token.ashxfund123.oauth.key=SM_SDK_WCfund123.oauth.secret=944D5B2318964731940252113ADE3A6Afund123.outhorize.url=https://account.fund123.cn/oauth/Partner/Authorize.aspx?oauth_token=fund123.accesstoken.url=https://account.fund123.cn/oauth/access_token.ashxfund123.callback.url=http://www.wacai.com/user/fundcallback.actionfund123.login.url=https://account.fund123.cn/oauth/Partner/AutoLogin.aspxfund123.purchase.url=https://trade.fund123.cn/Trading/Do/Purchase?fundCode=482002&fselectable=disabled&ReturnUrl=fund123.redeem.url=https://trade.fund123.cn/Trading/Do/Redeemfund123.redeem.callback=https://www.wacai.com/finance/webmarket/position.action#配置中心配置config.server.ip=115.236.23.179config.server.port=8283#应用名称配置application.name=wacFinance_fc#环境配置profiles.active=test#浙金所配置zjfae.open.url=http://trade.zjfae.com:6010/broker/subscription.htm?content=zjfae.position.url=http://trade.zjfae.com:6010/broker/position.htm?content=zjfae.productStatus.url=http://trade.zjfae.com:6010/broker/productStatus.htm?content=zjfae.brokerNo=0010zjfae.brokerAccount=jj000013zjfae.secretKey=zjfaezjfae.productCode=LC14040050staticize.rules.files=/staticize.rules.xmlstaticize.switch=falsewacai.web.server=https://www.wacaiyun.com#kafkakafka.brokerList=192.168.1.209:9092kafka.topic=wc_licai_position_updating
dz信息
## ================================================# * Discuz! Ucenter API for JAVA# ================================================# UC comunication settings# #是否启用DZ论坛。0:不启用;1:启用enabled=0#uc server url#如果不是以http打头,则表示相对路径。此时会使用浏览器中输入的serverName和端口和uc server来通讯#可以用@来占位主机, 会被用户访问的实际主机名代换. 这种方式更加灵活.UC_API =http://@/club/uc_server#keyUC_KEY=003f6b1359c6404684502f187aecc8b5#appidUC_APPID =2#connect mode: default value is ""UC_CONNECT =
某链接信息:
connect_timeout = 2000network_timeout = 4000charset = utf-8http.tracker_http_port = 80http.anti_steal_token = nohttp.secret_key = wacai.fileserver.1q23sratracker_server = 192.168.1.202:22122
其余信息:
其余影响信息:/systemsetting.properties/SignVerProp.properties/paymentService.properties(更多自己查看)
挖财这个新互联网我一直是支持与看好的,贵站点存在这样的漏洞,希望得到重视与及时修复,此漏洞对业务的影响大小,贵站管理员可以看到,希望贵公司能配合以及维护修复,作为白帽子这是我应该做的。
$有木有?礼物有木有?
危害等级:高
漏洞Rank:18
确认时间:2015-02-04 13:07
非常感谢你的报告,我们正在修复中。
2015-03-20:已修复