当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0167996

漏洞标题:联行支付某站小口子撕开(涉及多个大学学生缴费情况及个人信息/已获取主server邮件系统/多个数据库信息量巨大)

相关厂商:联行支付

漏洞作者: 路人甲

提交时间:2016-01-07 11:05

修复时间:2016-02-20 15:48

公开时间:2016-02-20 15:48

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-07: 细节已通知厂商并且等待厂商处理中
2016-01-07: 厂商已经确认,细节仅向厂商公开
2016-01-17: 细节向核心白帽子及相关领域专家公开
2016-01-27: 细节向普通白帽子公开
2016-02-06: 细节向实习白帽子公开
2016-02-20: 细节向公众公开

简要描述:

附上:写shell技巧
不知道联行支付具体位置在山东哪?公司招聘运维安全人员嘛?

详细说明:

60.208.86.109 从没有任何标识到分析config.xml 到最后的写马,尝试多次均失败。weblogic的配置太过于复杂,分析不出host,而且反查也查不到域名,http://sdau.ecpay.cn发现个山东农业大学报名缴费系统,联行支持的,忽然想到,可以用find + css文件定位,实践成功写马,http://sdau.ecpay.cn/2.jsp carry 进去了才发现别有洞天,reg.ecpay.cn service.ecpay.cn 都绑定在这个IP上,通过分析,获取到三个可用数据库配置以及主server mail账号,通过对数据库的配置发现大量学生缴费以及个人信息,还有大量的账户信息,涉及到部分注册账号。成功登陆到mail系统,大量的收发邮件。。。

<value>smtp.ecpay.cn</value>
		</property>
		<property name="mailServerPort">
		<value>25</value>
		</property>	
		<property name="fromAddress">
		<value>[email protected]</value>
		</property>
		<property name="username">
		<value>[email protected]</value>
		</property>
		<property name="password">
		<value>server163@@</value>
		</property>
		<property name="subject">
  <jdbc-driver-params>
    <url>jdbc:oracle:thin:@192.168.10.22:1521:cecpay</url>
    <driver-name>oracle.jdbc.OracleDriver</driver-name>
    <properties>
      <property>
        <name>user</name>
        <value>reg</value>
      </property>
    </properties>
    <password-encrypted>{AES}CUlK34Fwu5TusdBz69CgGYEqXv/nZHwjUDYtERSTz3M=</password-encrypted>  qazsew123a?
  <jdbc-driver-params>
    <url>jdbc:oracle:thin:@192.168.10.22:1521:cecpay</url>
    <driver-name>oracle.jdbc.OracleDriver</driver-name>
    <properties>
      <property>
        <name>user</name>
        <value>service</value>
      </property>
    </properties>
    <password-encrypted>{AES}I9taZwwh9svbyZHG19KL2Xb0+DZthHCuor7hufFuzdY=</password-encrypted>  123456
  <jdbc-driver-params>
    <url>jdbc:oracle:thin:@192.168.10.22:1521:cecpay</url>
    <driver-name>oracle.jdbc.OracleDriver</driver-name>
    <properties>
      <property>
        <name>user</name>
        <value>verify</value>
      </property>
    </properties>
    <password-encrypted>{AES}K5z7yElWRy9IaLF/XkuCfRqEyCRDcMC3doHOyUzQtNA=</password-encrypted> 123456

附上数据库及mail配置数据。

漏洞证明:

111.png

dingwei.png

xinxi.png

xinxi1.png

xinxi2.png

xinxi3.png

xinxi4.png

xinxi5.png

xinxi7.png

xinxi8.png

xinxi9.png

xinxi10.png

xinxi11.png

xinxi12.png

xinxi13.png

xinxi14.png

xinxi15.png

xinxi16.png

xinxi17.png

xinxi18.png


mail.png

Query#0 : select t.TABLE_NAME,t.NUM_ROWS from user_tables t order by NUM_ROWS desc
TABLE_NAME
VARCHAR2	NUM_ROWS
NUMBER
APPLY_UPDATE_LOG	 
EXAM_20152016NCZXJF	 
EXAM_2015NXBNYJSYYYSLJBMKS	 
EXAM_2015NXBNYYSLJBMKS	 
EXAM_KS	 
EXAM_NDXYYSLJBMKS	 
EXAM_NFJNPT	 
EXAM_NYYSLJBMKS	 
EXAM_QUERY	 
EXAM_QUERY_GROUP	 
EXAM_QUERY_LOG	 
EXAM_ZZYJSZYKRXKSJFPT	 
REG_ACCOUNT	 
REG_ACC_EXAM	 
REG_ACC_EXAM_PAYMENT	 
REG_ACC_EXAM_PAYMENT_LS	 
REG_BILL	 
REG_BILLD_ETAIL	 
REG_DATA_RIGHT	 
REG_DIC	 
REG_DIC_COPY	 
REG_DIC_DATA	 
REG_DIC_DATA_COPY	 
REG_ENTRY_FORM	 
REG_ENTRY_FORM_ADVANCE	 
REG_ENTRY_FORM_ADVANCE_COPY	 
REG_ENTRY_FORM_COPY	 
REG_ENTRY_FORM_FIELD	 
REG_ENTRY_FORM_FIELD_COPY	 
REG_EXAM	 
REG_EXAM_INSTRUCTION	 
REG_EXAM_NAME	 
REG_EXAM_PAYMENT	 
REG_EXAM_UPLOAD	 
REG_EXAM_UPLOAD_FILE	 
REG_FUNCTION_FOLDER	 
REG_INTERFACE_TEMPLATE	 
REG_MOUDLE	 
REG_ORGCODE	 
REG_RESOURCE	 
REG_RESOURCE_RIGHT	 
REG_ROLE	 
REG_STUDENT_INFO_META	 
REG_TRANSACTION	 
REG_USERCODE	 
REG_VALIDATE_RULE

某个数据库结构。

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-01-07 12:23

厂商回复:

非常感谢您的报告,问题已处理。如果有任何问题,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无