当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0150855

漏洞标题: 直捅路虎汽车官网的管理员密码,大量订单信息泄漏

相关厂商:路虎汽车

漏洞作者: 猪猪侠表哥

提交时间:2015-11-01 21:08

修复时间:2015-12-20 14:48

公开时间:2015-12-20 14:48

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-01: 细节已通知厂商并且等待厂商处理中
2015-11-05: 厂商已经确认,细节仅向厂商公开
2015-11-15: 细节向核心白帽子及相关领域专家公开
2015-11-25: 细节向普通白帽子公开
2015-12-05: 细节向实习白帽子公开
2015-12-20: 细节向公众公开

简要描述:

原因起源有人把钓鱼页面寄生在路虎汽车网,然后有人中招了,到处发邮件给QQ好友,QQ密码被盗的好友越来越多,后来我还发现路虎还被别人挂了“菠菜”的暗链。。

详细说明:

钓鱼页面:http://**.**.**.**/u.htm?id=600812

QQ截图20151031144057.png


模仿QQ邮箱的登录页面
被挂“博彩“的目录:http://**.**.**.**/data/

QQ截图20151031144238.png


找到了一处FCKeditor页面:http://**.**.**.**/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.php
然而上传有点问题
后来直接找到了一处越权修改管理密码:http://**.**.**.**/admin/admin.php

QQ截图20151031144545.png


我将admin的密码修改成adminking
然后直接登录后台http://**.**.**.**/admin/index.php
发现订单信息多达4722条记录

QQ截图20151031144804.png


还有购车人的详细信息

QQ截图20151031145003.png


2399条试驾人信息

QQ截图20151031145142.png


营销商的信息也有

QQ截图20151031145304.png


就到这里吧,shell我就不去拿了,希望赶快修复,免得越来越多人中招

漏洞证明:

QQ截图20151031144545.png


QQ截图20151031144804.png


QQ截图20151031145003.png


QQ截图20151031145142.png


QQ截图20151031145304.png

修复方案:

求奖品23333

版权声明:转载请注明来源 猪猪侠表哥@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-11-05 14:47

厂商回复:

暂未建立与网站管理单位的直接处置渠道,待认领。

最新状态:

暂无