WooYun.org

剑心大牛想看热闹...那么来一碟花生米..慢慢看
本次目标 新华基金网
1. 找准目标www.ncfund.com.cn 解析IP 发现什么不对
换个姿势...找交易登陆的地方会有好戏
trade.ncfund.com.cn 换来IP：124.162.20.50
接着开始C段...会有惊喜
http://124.162.20.54/console/ 弱口令事件 微信平台

确认厂商：http://124.162.20.54/weixin-gxt/
不用怀疑就是新华基金

2. shell： http://124.162.20.54/weisvr/jmxroot.jsp

360butian

进入服务器后才发现同样有杀软...卡巴斯基 上传war文件被杀 提示权限错误
修改上传目录，直接传shell 从服务器命名看ncfund 百度一下就是新华基金了

3.数据库信息： 直接明文账号 这个是微信平台 提供查询的接口
基本就能够涉及到数据库的真实信息了

jdbc.url=jdbc:oracle:thin:@10.1.7.200:1521:khdata
jdbc.username=hsweixin
jdbc.password=ncfund_63711503

4. 简单通过shell查询了下数据大概有个了解，接下来尝试ping下外网
正常访问，那就直接提权上服务器
这次运气还行，管理员对不住 为了安全检测 私自卸载了你的卡巴斯基，下次记得设置杀软的安全密码 防止被恶意卸载

5. 数据分析 结果证明我是的对，一切都是厂商的坑
数据库账号根本没有什么权限概念，直接可以跨账户查询
为方便数据查询，在服务器上面安装的DBeaver 此处并无恶意
服务器网络太渣...安装个软件环境都花了半个小时不止 算了 不搞了
直接shell取数据
表1： 2010年的表 11W个人详细数据

表2： 基金账号信息表 181W 个人信息泄露 可根据时间证明为最真实数据
具体基金账号就不截图出来了

表3： 249W个人信息

表4：联合国黑名单...和其他基金公司的一致 全是新疆 买买提...

表5：805W 基金交易记录

表6： 340W 基金账号密码信息 虽然我没看到这密码经过什么处理

表7： 微信客户查询 系统所反馈的数据 其中链接中含有手机号码参数就不截图出来了
你有多少钱...我已经知道了

数据已证明...就不做内网安全检测了，管理员尽快修复为好
声明：安全检测，点到为止，无修改或窃取任何用户数据信息，截图只为漏洞证明使用