WooYun.org

首先声明，我没有改数据，查数据也只查了十条左右证明漏洞存在，没有脱库，拒绝查水表。
威胁如下：
1.多台服务器沦陷，可内网渗透
2.可操作数据库，查看或修改用户信息
3.威胁十几万用户数千万资金安全
4.用户重要信息泄露
5.163企业邮箱信息泄露
6.与银行发送交易的信息泄露
7.FTP服务器存储了用户的身份证照片，进入内网后可获取
钱宝的以下服务器均存在JAVA反序列化漏洞，均可控制。

先来看超级账户系统，个人客户和企业客户都使用这个系统。

这个是可以绑定银行卡，也可以充钱的，和支付宝一个性质

连上服务器

root用户

随便看看

应用部署在这里，我没有传JSP上去，访问下已有的文件验证下

这个文件里有163企业邮箱的信息

登进邮箱瞅一眼，别的啥都没看

这些文件里有和各银行的交易信息配置

这个文件里有数据库信息，不过是加密的

加密了怕啥，分析下代码，明文就算出来了
连上数据库

这个数据库的用户应该挺多的，我只看了当前用户的
118个表

客户银行卡信息，虽然有几位打了码，应该也能分析出来

16W银行卡信息

虚拟账户信息，这个虚拟账户就和支付宝账户的概念差不多的
密码是保存的hash，但是没有加盐，把自己注册的用户的密码改成一个常用密码，再找hash值相同的用户，找出来一堆-.-，想登录谁的用户，改一下数据库的值就可以了。当然我没有这样做。

14W用户

看下账户余额

444个余额大于0

总数是，7146万。。。

看下发送的邮件

可以改别人的密码，当然也可以直接用数据库用户改了-.-
发送的短信，有验证码，转账估计也不是问题了。当然我也没这样做-.-

还有其他的表里有金额，不知道准不准，更吓人

这个表的金额总数是，7个亿。。。我觉得是我算错了

管理员信息，我没有拿这些去登录

再来看看信用卡支付系统商户后台

连上服务器

这是另一台服务器，还是root

跑了好多应用

应用部署在这里，没上传JSP，一样访问现有文件验证下

数据库信息也是加密的，用相同的方法解决
连上数据库

171个表

这是另一个数据库，看看有多少用户

看看信用卡记录，1000W

都是国际友人

这个BB的表是啥

银行卡信息

看看发送的邮件

商户管理员

再来看看其他的服务器，都可以控制

用户在实名认证时需要上传身份证照片，照片保存在FTP服务器中，FTP信息在某个应用的properties文件中，内网后可获取用户身份证照片，没这样做。