查看: 18580|回复: 8

授权测试四川某P2P金融公司

[复制链接]
  • TA的每日心情
    擦汗
    2017-8-22 16:10
  • 签到天数: 93 天

    [LV.6]常住居民II

    发表于 2016-7-22 10:39:07 | 显示全部楼层 |阅读模式
    此次授权获得该公司认可
    1.jpg
    第一时间先查看ip信息
    发现是阿里云(阿里云服务器防扫的)所以放弃使用扫描软件
    -----------------------------------------------------------------------------------------------

    http://www.xxxxxx.com/
    四川摸摸P2P金融公司
    漏洞第一处:2&id=422
    这一处存在sql注入,由于贵方服务器是阿里云(阿里云默认开启了waf)要想绕过waf既可以实现注入,
    所以这处漏洞对我比较鸡勒。
    漏洞第二处:/UsersCenter/Index.aspx
    该地方存在上传图片信息:利用burp上传抓包改包既可以绕过服务器验证上传脚本
    控制服务器
    漏洞利用证明:diandaoweizhi.txt
    2.jpg
    此次漏洞测试为高
    Sql注入,前台用户getshell
    安全修复建议
    1.        给sqlserver数据库sa用户降权
    2.        严格控制上传点,可以利用图床二次渲染达到欺骗黑客上传恶意脚本。
    3.        利用服务器在上传文件输出点进行脚本文件控制,asp,aspx,php,jsp,jspx进行403权限设置,这样即使黑客上传绕过本地验证和服务器验证,也没用权限运行脚本木马。
    由衷感谢:四川摸摸P2P金融公司信息技术有限公司能给于我们这次测试,我相信贵公司在安全的道路上越走越好。
    安全周刊希望为国内网络安全领域带来一抹正能量,传递真正的黑客与极客精神。
    我不怎么能言善变这次渗透在家里后来去公司给写了这份报告给对方公司,这次检测没有靓点,没有什么图来证明,
    并不是有意宣传我的博客,我也是08sec的一份子,希望管理大大能给个友情链接


                               
                                   安全周刊_security weekly http://i.szxxly.cn   

    评分

    参与人数 1i币 -5 收起 理由
    LiFi -5 没有过程的帖子就是装逼,

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情

    2024-11-13 20:06
  • 签到天数: 1628 天

    [LV.Master]伴坛终老

    发表于 2016-7-22 11:06:39 | 显示全部楼层
    我觉得还可以进一步渗透

    点评

    服务器也提下了,但是当时弹的是 点到为止所以没有升入  详情 回复 发表于 2016-7-22 11:43
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-8-22 16:10
  • 签到天数: 93 天

    [LV.6]常住居民II

     楼主| 发表于 2016-7-22 11:43:30 | 显示全部楼层

    RE: 授权测试四川某P2P金融公司

    90_ 发表于 2016-7-22 11:06
    我觉得还可以进一步渗透

    服务器也提下了,但是当时弹的是 点到为止所以没有升入

    点评

    90_
    再写详细点吧,说不定把你这个文章写入到这期的《红客焦点》里呢  详情 回复 发表于 2016-7-22 13:23
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-11-13 20:06
  • 签到天数: 1628 天

    [LV.Master]伴坛终老

    发表于 2016-7-22 13:23:54 | 显示全部楼层

    RE: 授权测试四川某P2P金融公司

    3‘server 发表于 2016-7-22 11:43
    服务器也提下了,但是当时弹的是 点到为止所以没有升入

    再写详细点吧,说不定把你这个文章写入到这期的《红客焦点》里呢

    点评

    我感觉金融公司涉及的都是投资人的钱万一那个地方打码不严格,泄露了那事情可能有点严重  详情 回复 发表于 2016-7-22 15:01
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-8-22 16:10
  • 签到天数: 93 天

    [LV.6]常住居民II

     楼主| 发表于 2016-7-22 15:01:52 | 显示全部楼层

    RE: 授权测试四川某P2P金融公司

    90_ 发表于 2016-7-22 13:23
    再写详细点吧,说不定把你这个文章写入到这期的《红客焦点》里呢

    我感觉金融公司涉及的都是投资人的钱万一那个地方打码不严格,泄露了那事情可能有点严重
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-1-11 17:10
  • 签到天数: 124 天

    [LV.7]常住居民III

    发表于 2016-7-22 19:17:29 | 显示全部楼层
    没有过程的帖子就是装逼
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2016-9-26 18:57
  • 签到天数: 65 天

    [LV.6]常住居民II

    发表于 2016-7-22 19:22:47 | 显示全部楼层
    不错,学习了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2020-1-23 17:08
  • 签到天数: 138 天

    [LV.7]常住居民III

    发表于 2016-7-24 10:56:40 | 显示全部楼层
    你的马赛克打的真好  www.sctdcoin.com
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-7-17 14:40
  • 签到天数: 62 天

    [LV.6]常住居民II

    发表于 2016-7-29 09:11:01 | 显示全部楼层
    这报告就能过关了?
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-24 06:15 , Processed in 0.068900 second(s), 17 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部