记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

民生电商某信息泄露问题导致严重后果(数据库/所有订单/OA/邮箱/礼品卡/供应商平台)

2016-02-13 05:10

首先还是代码数据库文件泄露:

源代码



code 区域
https://github.com/AntDream/cchome/blob/b8920304736660db28b33ae3c2c1b8a86124a7ca/admin/src/main/resources/init.properties







code 区域
classPath=E:/MvnRepository/mysql/mysql-connector-java/5.1.23/mysql-connector-java-5.1.23.jar

jdbc_driver = com.mysql.jdbc.Driver

#jdbc_url=jdbc:mysql://559d09f7c9dd7.gz.cdb.myqcloud.com:18059/cchome?useUnicode=true&characterEncoding=utf-8

#jdbc_user=cdb_outerroot

#jdbc_password=hgh900103!@#$

jdbc_url=jdbc:mysql://127.0.0.1:3306/cchome?useUnicode=true&characterEncoding=utf-8

jdbc_user=root

jdbc_password=root

#jdbc_url=jdbc:mysql://120.132.51.188:2101/msds_zc?createDatabaseIfNotExist=true&useUnicode=true&characterEncoding=utf-8&autoReconnect=true

#jdbc_user=dev

#jdbc_password=67jkUPEJ









登陆上去



管理员.png





获取173个管理员的账户密码电话

22222222222222222.png



code 区域
real_name

王楠

刘云龙

曾婷

蔡晓芬

张建伟

袁炳昭

洪加华

杨晶

庞勇

葛秀兰

文静

孙安娜

杨丹

刘慧

韩银晶

贺园园

超级管理员x

赵金星

张棚飞

郭艳辉

吴友勇

宋博

张春勇

王菲

郝成坤

罗灿

张志超

周强

王莉萍

蒲泓成

郑继成

汤玉峰

李昕

朱珠

马跃峰

杨梅

吴艳娇

朱正超

金玲玲

冯洋

李威

董赤益

张幸子

关欣

侯云飞

谈国俊

陈鹤原

朱强

刘荣海

黄守通

罗聪

陈瑞贤

尹晓彤

赵彬彬

王曦

张小军

艾玮

杨琪

佟飞欧

王静

杨晓秋

陈媛

张烨

杨明玉

刘超

杜翠翠

熊海建

薛辉

杜守福

尹改霞

赵建平

张虹

李欢

张媛媛

张欣怡

张琴

王正东

张静

沈静文

赵晋

石志春

王大刚

李晖

赵勇

测试

周丽燕

胡颖

胡杰

张媛媛

陈琳

刘彦虎

秦领

王凯旋

曹中流

楚镇宁

陈文彦

徐以华

于洋

王登庆

于海波

张悦

康利华

肖向芝

柴要州

杜云娣

黄春秀

于洋

王静

荆洋

张健

杨丽

温鑫

李莉莎

姚明虎

杨嗣达

刘野

王文强

熊飚

赵宏

杨静

曾总

晏亮

黄瑞清

马家满

王伶俐

王媛媛

付泓

姚元海

王丽萍

马才仙

王志涛

陈科

朱晏伟

张畅

凡后军

苏爱芹

薛梅颖

柳艳芳

金鑫

朵蕾

许超生

王哲

吕锟

李焕春

梁婧

江雪娇

叶绿

王若愚

仇浩

胡安彬

闫菲

彭旭

朱永洪

马跃峰

刘晓春

宋敏妮

胡舜翕

段心誉

沈慧娟

李明

贺昌有

李贵华

方楚杰

李明

郭丽娟

陈纪平

王军

王庆波

刘文广

朱彦军

杨鑫

林万万

郝立娟





解出来的MD5尝试登陆OA,邮箱等等







下面订单有多少



订单.png





订单60W.png









存在60W订单





其他数据库还有些什么







数据库名单.png





这是表有什么你们很清楚的





现在我们拿着账户去登陆OA



3.png





登陆进去获取所有人通讯录

敏感文件



尝试登陆mail

1.png





4.png



邮箱存在每天的订单报告

一天的.png





所有订单.png







邮箱获取供应商的账户密码



2.png





入住.png







入住店家.png







登陆一个测试



QQ截图20151229101052.png







获取到很多礼品卡,应该有没用的



礼品卡.png





数据泄露.png







安全问题确实多



所有密码存档.png





无线密码.png





尝试登陆



UMBPAY.png





























漏洞证明:

一天的.png

修复方案:

安全意识,密码传输加密或者线下

知识来源: www.wooyun.org/bugs/wooyun-2016-0165680

阅读:549540 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“民生电商某信息泄露问题导致严重后果(数据库/所有订单/OA/邮箱/礼品卡/供应商平台)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云