HanDs
管理员

[7月漏洞公开] 票谋天下两站点存在漏洞可导致550W去哪订单泄漏以及230W携程网订单泄漏(姓名/身份证/出行信息/可修改票价等) 



票谋天下某站点存在漏洞可导致550W去哪订单泄漏以及230W携程网订单泄漏(姓名、身份证、出行信息、可修改票价等)

详细说明:

票谋天下

**.**.**.**:7003

存在反序列化漏洞

code 区域
HELO:**.**.**.**.false
AS:2048
HL:19
HELO:**.**.**.**.false
AS:2048
HL:19
HELO:**.**.**.**.false
AS:2048
HL:19
HELO:**.**.**.**.false
AS:2048
HL:19





拿到shell

http://**.**.**.**:7003/uddiexplorer/cc.jsp



1.jpg





550W去哪的订单

2.jpg



3.jpg





230W携程的订单

6.jpg



7.jpg

漏洞证明:

550W去哪的订单

2.jpg



3.jpg





230W携程的订单

6.jpg



7.jpg



**.**.**.**:7005

存在反序列化漏洞

code 区域
HELO:**.**.**.**.false AS:2048 HL:19 HELO:**.**.**.**.false AS:2048 HL:19 HELO:**.**.**.**.false AS:2048 HL:19 HELO:**.**.**.**.false AS:2048 HL:19



拿到shell



http://**.**.**.**:7003/uddiexplorer/cc.jsp

1.jpg





550W去哪的订单

2.jpg

3.jpg





230W携程的订单

6.jpg



7.jpg



550W去哪的订单

2.jpg

3.jpg





230W携程的订单

6.jpg



7.jpg

修复方案:

补丁


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
天下 站点 存在 漏洞 导致 5 50 W 订单 泄漏 以及 2 30 W 携程 订单 泄漏
#1楼
发帖时间:2016-7-16   |   查看数:0   |   回复数:0
游客组
快速回复