当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0165107

漏洞标题:联行支付漏洞(涉及全站数据库信息/海量交易量.用户信息.GET到众多子站源码数据库)

相关厂商:联行支付

漏洞作者: 路人甲

提交时间:2015-12-30 19:43

修复时间:2016-02-12 18:49

公开时间:2016-02-12 18:49

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-30: 细节已通知厂商并且等待厂商处理中
2016-01-04: 厂商已经确认,细节仅向厂商公开
2016-01-14: 细节向核心白帽子及相关领域专家公开
2016-01-24: 细节向普通白帽子公开
2016-02-03: 细节向实习白帽子公开
2016-02-12: 细节向公众公开

简要描述:

详细说明:

**.**.**.** 偶然发现一个IP,但是反查没有任何绑定,logo是联行支付的,但页面tilte是错误页面,勾起了我的好奇心,通过测试发现有命令执行,看了config.xml,很复杂。绑定了众多的子域名站点,发现几乎是所有联行支付的业务子站,包括主站。通过向任一子站写马,拿到shell,获取4个数据库,其中是主站和user站的数据库。
涉及到十几亿交易信息,几百万注册用户信息以及部分大型银行对接信息,危害极其恐怖,光是P2P那些注册信息吧,还有各个站点的源码泄露。
注:漏洞证明过程,截图只是每个表极其少的信息截图,因为实在信息量太庞大,webshell无法像软件那样操作,
所有信息未做任何copy之类的处理,只截图证明危害。谢谢

漏洞证明:

**.**.**.**
servers/AdminServer/upload/bank.war
**.**.**.**
servers/AdminServer/upload/merchant
**.**.**.**
servers/AdminServer/upload/ecw
servers/AdminServer/upload/ecm
servers/AdminServer/upload/smg
**.**.**.**
servers/AdminServer/upload/ecf
**.**.**.**
servers/AdminServer/upload/provision
**.**.**.**
servers/AdminServer/upload/eco

站点对应的源码位置。

<jdbc-driver-params>
    <url>jdbc:oracle:thin:@**.**.**.**:1521:sdecp</url>
    <driver-name>oracle.jdbc.OracleDriver</driver-name>
    <properties>
      <property>
        <name>user</name>
        <value>ysh</value>
      </property>
    </properties>
    <password-encrypted>{AES}TIolXOxVP4J7MO9xAuXEoKTE2fJP+aV38fI4FJhBVt8=</password-encrypted>  ysh
    <url>jdbc:oracle:thin:@**.**.**.**:1521:CECPAY</url>
    <driver-name>oracle.jdbc.OracleDriver</driver-name>
    <properties>
      <property>
        <name>user</name>
        <value>sso2</value>
      </property>
    </properties>
    <password-encrypted>{AES}jYDeQlzc95FyVv8WIqRbaLd9xYr9x1VrVb5OnueOGbk=</password-encrypted>  errors
    <url>jdbc:oracle:thin:@**.**.**.**:1521:cecpay</url>
    <driver-name>oracle.jdbc.OracleDriver</driver-name>
    <properties>
      <property>
        <name>user</name>
        <value>reg</value>
      </property>
    </properties>  
    <password-encrypted>{AES}w5ROMRhESsEmIgtw7/ogfO2qbStCPu2xpRzJGdEqhrI=</password-encrypted>  123456
 
    <url>jdbc:oracle:thin:@**.**.**.**:1521:cecpay</url>
    <driver-name>oracle.jdbc.OracleDriver</driver-name>
    <properties>
      <property>
        <name>user</name>
        <value>eca</value>
      </property>
    </properties>
    <password-encrypted>{AES}OAtbrvEIwOqHK8auYW375nKKor/TFiWGNy8xMbg17jk=</password-encrypted> eca411shangHU

数据库配置,每个最后面是解密的密码

cec.png

1111.png

2222.png

3333.png

4444.png

5555.png

6666.png

7777.png

8888.png

9999.png

101010.png

121212.png

141414.png

部署1.png

部署2.png

部署3.png

http://**.**.**.**/2.jsp

7

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-01-04 15:14

厂商回复:

非常感谢您的报告,问题已处理。如果有任何问题,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无