漏洞标题 上海东方汇荣商业文化公司多系统指令执行漏洞/涉及客户和商家信息/包括手机号码/身份证号码/银行卡号码/邮箱/家庭住址等。 相关制造商 Occpay.com 漏洞作者 Z_zz_zzz 提交时间 2016-04-26 10: 34 公共时间 2016-06-17 18: 20 漏洞类型 系统/服务补丁不及时 危险等级 高 自我评估等级 15 漏洞状态 制造商已确认 标签标签 远程命令执行 漏洞详细信息 只检查了少量数据,证明漏洞存在,没有拖动库 上海东方汇荣商业文化公司的三台服务器中存在J * A weblogic反序列化漏洞。服务器如下。
首先看东方宝的网站
连接到服务器
连接到数据库
用户信息,3800 +
用户信息包括用户/密码/电话号码/身份证号码/
用户的密码字段没有盐渍,只需查找用户信息即可登录并查看
查看绑定的银行卡号码,1300+
再看一下商家管理系统。
连接到服务器
这是一条ftp消息
登录数据库
查看商业信息,45
很多地方-.-
查看用户信息,31
密码也没有添加,请查看登录信息
最后,看一下sso网站。
连接到服务器
漏洞证明: 查看详细说明 修理计划: 补丁 可以参考: 修复weblogic的J * A反序列化漏洞的各种方法 http://drops.wooyun.org/web/13470 如何控制打开HTTPS服务的weblogic服务器 http://drops.wooyun.org/web/13681 版权声明:请注明出处z_zz_zzz @乌云