百姓某处信息泄露可GET SHELL

Feei <feei#feei.cn> 08/2015

1. 信息泄露

Edge插件检测(左下角提示)到百姓金融存在Git泄漏。

看下泄漏的git信息,是部署在GitHub Private上的项目。

由于是带auth-token的,可以直接使用auth-token作为授权码将代码下载下来。

2. GET SHELL

代码下载后发现无太多可以利用的东西,连硬编码免密都没有。于是审计源码,发现代码中存在可以在线更新项目的脚本pull.php

遂通过auth-token直接将大马commit到git上,然后访问在线更新脚本pull.php从git上更新最新代码,即可GETSHELL。

DB 账号信息

DB 数据

3. 扩大战果

除了这个项目外,还发现聚车商APP的管理后台代码仓库地址。 https://29ab43d962**********c0480b3ed157687:x-oauth-basic@github.com/baixing/jucheshang_admin

通过这个地址我们可以直接上传SHELL,并通过搜索引擎找到聚车商域名cartier.baixing.cn,通过http://cartier.baixing.cn/pull.php更新到线上。

SHELL地址:http://cartier.baixing.cn/js/faq.php

项目源码

漏洞已报告给CNCERT/乌云/补天或厂商且已修复完成,感谢厂商的重视及现金奖励。

披露漏洞细节是安全行业通行做法,若对披露有异议请联系feei#feei.cn进行隐藏厂商处理。