当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0142908

漏洞标题:某市公积金系统配置不当可随意修改公积金余额(买房不再是梦想)

相关厂商:某市公积金系统

漏洞作者: 路人甲

提交时间:2015-09-24 09:21

修复时间:2015-11-12 19:36

公开时间:2015-11-12 19:36

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-24: 细节已通知厂商并且等待厂商处理中
2015-09-28: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-10-08: 细节向核心白帽子及相关领域专家公开
2015-10-18: 细节向普通白帽子公开
2015-10-28: 细节向实习白帽子公开
2015-11-12: 细节向公众公开

简要描述:

详细说明:

潍坊市公积金系统出现问题

mask 区域 
*****间件密码修改为^*****
******.*******
*****ff23608af53fd001cc1271.png*****


直接导致getshell

1.png


获取关键信息

mask 区域 
*****^^不严,可^*****
******.**.**.*******
***** dr*****
***** dr*****
**********
******.**.**.*******
***** wf*****
***** wf*****


6.6W枚公积金账号密码 好多同名的啊

1.png


30W枚 个人账号 密码信息 身份证 手机号

2.png


1.png


1.8W枚 微信用户 账号密码 以及微信ID

2.png


1.png


那就来验证下公积金账号把
貌似是一个政府人员的账号 11W的公积金余额 卧槽

1.png


企业银行账号信息

1.png


个人银行卡账号 以及金额信息
都是建行账号啊

1.png


这些公积金都给丢银行赚利息去了?

1.png


个人隐私信息以及账余额 mask

mask 区域 
*****b4970656015b9436c32e14.png*****
*****8d22287118bfa5c9513759.png*****


其他信息就不一一去验证查看了...安全检测点到为止
买房不再是梦

漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-09-28 19:34

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给山东分中心,由其后续协调网站管理单位处置。

最新状态:

暂无