华润元大基金某系统命令执行漏洞/涉及大量信息/包括银行系统账号/微信/腾讯微博账号/部分客户信息/可内网

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-25: 细节已通知厂商并且等待厂商处理中
2016-04-27: 厂商已经确认,细节仅向厂商公开
2016-05-07: 细节向核心白帽子及相关领域专家公开
2016-05-17: 细节向普通白帽子公开
2016-05-27: 细节向实习白帽子公开
2016-06-11: 细节向公众公开

简要描述:

华润元大基金管理有限公司(以下简称“华润元大基金”)是一家陆台合资公司,由华润深国投信托有限公司和台湾地区元大宝来证券投资信托股份有限公司共同出资设立,占股比例分别为51%和49%。公司于2013年1月17日完成工商注册登记,经营范围包含基金募集、基金销售、特定客户资产管理、资产管理和中国证监会许可的其他业务。

华润元大基金某系统存在命令执行漏洞,泄露了大量信息/包括银行系统账号/微信/腾讯微博账号等,并泄露了部分客户信息,可内网

详细说明:

szkingdom的系统设计得挺好的,公网的应用不连数据库,这下难被评成大漏洞了,只好翻翻文件,没做恶意的事,勿怪。要怪就怪补丁打得不及时,该打运维的PP,不要查我的水表=.=

https://etrade.cryuantafund.com/

华润元大基金网上交易系统存在JAVA weblogic反序列化漏洞

Snap264.png



连上服务器

Snap265.png



net view显示局域网有四台windows服务器,忘记截图了。理论上可以内网渗透,还是算了吧-.-

建行系统的文件

Snap268.png



有账号密码,不过我没有去登录

Snap266.png



Snap267.png



还有好多文件,中债登的说明,安全检测的报告,还有微信的信息

Snap269.png



看下安全检测报告

Snap270.png



微信的信息

Snap271.png



登录腾讯微博看一眼

Snap272.png



Snap273.png



QQ邮箱也可以登录,不过还没开通

Snap274.png



登录QQ

Snap275.png



登录微信公众号

Snap276.png



认证快到期了,是不是这个帅小哥认证的

Snap291.png



还没看过微信公众号的后台长什么样,稍微看一眼

Snap277.png



Snap278.png



Snap279.png



消息管理

Snap280.png



用户管理

Snap281.png



公司员工

Snap282.png



全部用户

Snap283.png



用户分析

Snap284.png



图文分析

Snap285.png



看下服务器里应用产生的日志

Snap286.png



日志里有客户的session,理论上可以替换自己的session后使用客户的身份访问

Snap287.png



Snap288.png



交易记录

Snap289.png



这里有客户的session,ip,还有客户号

Snap290.png

 

漏洞证明:

见详细说明

修复方案:

打补丁



可以参考:



修复weblogic的JAVA反序列化漏洞的多种方法

http://drops.wooyun.org/web/13470



如何控制开放HTTPS服务的weblogic服务器

http://drops.wooyun.org/web/13681

版权声明:转载请注明来源 z_zz_zzz@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-04-27 16:27

厂商回复:

感谢提交

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度已收录『查看详情』

本文链接:华润元大基金某系统命令执行漏洞/涉及大量信息/包括银行系统账号/微信/腾讯微博账号/部分客户信息/可内网 - https://www.15qq.cn/wooyun/948.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知