金融云平台恒生ihoms属于国产较为知名的金融平台了,习科论坛某黑色产业从业者匿名向习科提交了恒生ihoms官网的多处漏洞,经过习科VIP核心团队的测试发现,漏洞真实有效,可获得服务器及数据库以上的权限。

 

该匿名黑客向习科阐述了其几个月以前尝试入侵的过程,习科简单测试了一下漏洞,大概有验证码虚设、任意登陆和文件包含几处漏洞。


I. 验证码虚设

就看一句代码:typeof verify === 'function' && verify(true)

 

II. 任意登陆

网站作者把短信动态密码写在Cookie里面的,虽然不能任意更改密码,但是却可以任意登陆。

 

 

 在网站随便注册一个账号,使用动态密码登陆,获取一个短信密码,然后在cookie中做修改就可以任意登陆。

例如在Cookie末尾加上DY_PW_NA=078B61FE7D0E466CB90D5147E71F2A0这样就可以任意登陆了

 

III. 网站包含漏洞

修改网站cookie中的语言模板,并将值设定为

 ../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd

 

 

黑客是通过恒生电子旗下另一个域名hundsun.com进行入侵的,该站点与公司主站在同一个子网下,这个域名的几个子域名都在/home/html,然后又读到了错误日志的位置/usr/local/apache2/logs/error_log

 

 

设置UA为恶意后门代码,访问404页面,即可获得权限。

 //silic.wiki