神刀安全网

漏洞标题: HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞详情

披露状态:

2016-01-27: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-03-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

公司介绍

上海华运通仓储配送有限公司(HurryTop Logistics)是国内领先的第三方物流企业,旗下拥有华运通、飞鹏、虎运等多个著名物流品牌,是多家世界500强企业的物流合作伙伴。公司拥有超过100万吨货物运输吞吐能力、30万平方米专业化管理的仓库及由500多个全国主要城市构成的物流网络。公司总部位于上海,现因公司业务发展需要,诚聘广大精英加盟。公司网站:www.hurrytop.com

详细说明:

http://101.231.244.195/tms/loginAction.action 存在jboss反序列+st2命令执行。通过写shell配置数据库发现大量数据。

涉及几百万物流订单详情,十分敏感,物品的信息都在期内,包括私人和敏感物品。(这种物流应该都是运输敏感的东西~~)

涉及大量代理商以及个人的信息。

数量过大,只截取部分信息作为证明。

漏洞证明:

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

漏洞标题:  HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

code 区域
jdbc.driverClassName=oracle.jdbc.driver.OracleDriver
#jdbc.url=jdbc:oracle:thin:@localhost:1521:ORCL
#jdbc.url=jdbc:oracle:thin:@192.168.10.99:1521:HMITV01
jdbc.url=jdbc:oracle:thin:@192.168.10.31:1521:ddms1
#jdbc.url=jdbc:oracle:thin:@192.168.10.246:1521:orcl
jdbc.username=new_tms
jdbc.password=new_tms

数据库配置

code 区域
Query#0 : select t.TABLE_NAME,t.NUM_ROWS from user_tables t order by NUM_ROWS desc

TABLE_NAME
VARCHAR2 NUM_ROWS
NUMBER
CHECK_DATA
FORMAT_DATA
SYS_LOG 864618
ORDER_DETAIL 568763
SYS_ORDER_DETAIL 559492
OPERATION_DETAIL 548369
ORDER_FORM 303608
SYS_ORDER 303422
SYS_ORDER_OPERATION 266084
FINANCE_INCOME 121872
FINANCE_MESSAGE 105332
FINANCE_PAYOUT 96471
OPERATION_ORDER 94676
CUSTOMER_PRODUCT 80995
PRODUCT_UNIT 77142
PRODUCT_UNIT_TEMP 66309
CUSTOMER_PRODUCT_TEMP 65002
CUSTOMER_ADDRESS 27850
ORDER_NO_TP 24380
SYS_LOGIN_TIME 17491
USER_SUPPLIER 13583
USER_CUSTOMER 12334
PACKAGE_ORDER 9880

数据库结构

code 区域
http://101.231.244.195/tms/1.jspx 9635789

修复方案:

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: HurryTop物流某系统(泄露上百万订单/涉及详细的物品信息和走向/涉及大量个人以及订单敏感信息)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮