出大事了老铁们，微信SDK爆出XXE任意文件读漏洞

40huo · 发表于 2018-7-3 09:59:18

本帖最后由 40huo 于 2018-7-3 10:11 编辑

老外的链接
http://seclists.org/fulldisclosure/2018/Jul/3

国外哥们测试了vivo和momo

In order to prove this, I got 2 chinese famous company:

a、momo: Well-known chat tools like WeChat

b、vivo ：China's famous mobile phone,that also famous in my country

Example momo :
attack:
notify url: https://pay.immomo.com/weixin/notify
cmd: /home/
result:
***
logs
zhang.jiax**
zhang.shaol**
zhang.xia**
****
attack:
notify url: https://pay.immomo.com/weixin/notify
cmd: /home/logs
result:
***
moa-service
momotrace
****
Example vivo :
attack:
notify url: https://pay.vivo.com.cn/webpay/wechat/callback.oo
cmd: /home/
result:
tomcat
attack:
notify url: https://pay.vivo.com.cn/webpay/wechat/callback.oo
cmd: /home/tomcat
result:
.bash_logout
.bash_profile
.bashrc
logs
attack:
notify url: https://pay.vivo.com.cn/webpay/wechat/callback.oo
cmd: /home/tomcat/logs
result:
****
tomcat-2018-06-28.log
tomcat-2018-06-29.log
tomcat-2018-06-30.log
*****

复制代码

赶紧先下线了吧。。。

看大家好像没看明白，这是读服务器的文件，接了微信支付接口的，不是微信APP的问题。

gdtv · 发表于 2018-7-3 10:16:48

本帖最后由 gdtv 于 2018-7-3 10:18 编辑

我帮楼主通俗地解释一下吧：
1、受影响的是使用了微信支付的网站，注意是网站，和你手机上的app没关系。
2、微信官方提供的java版本的SDK有漏洞，会被入侵，如果不是用java，或者不是用官方的SDK，就没问题。
3、就算真的使用了有漏洞的SDK，也不要太害怕，因为漏洞是通过notify url入侵的，一般来说没人知道你的notify url。

安之若素 · 发表于 2018-7-3 10:01:06

所以这个东西有什么影响。。。

jy02201949 · 发表于 2018-7-3 10:04:19

我也跟胖虎大佬同问

40huo · 发表于 2018-7-3 10:04:39

安之若素发表于 2018-7-3 10:01
所以这个东西有什么影响。。。

想读你什么文件就读什么文件

ADC · 发表于 2018-7-3 10:05:50

为什么这些天老看见“出大事”标题，结果却是一些不怎么重要的事情

安之若素 · 发表于 2018-7-3 10:06:44

40huo 发表于 2018-7-3 10:04
想读你什么文件就读什么文件

想要你什么权限你就必须给什么权限，不给不能用。我还在乎这个。

JJ复鸡鸡 · 发表于 2018-7-3 10:08:01

提示: 作者被禁止或删除内容自动屏蔽

小号 · 发表于 2018-7-3 10:09:13

跟微信有毛关系，反正我又不用它的支付功能。而且这个服务器端过滤了不就没事了么。

40huo · 发表于 2018-7-3 10:09:36

JJ复鸡鸡发表于 2018-7-3 10:08
我用苹果，电脑也无法读取每个独立app的空间，怕啥？

读服务器的文件大胸弟

		自动登录	找回密码
密码			注册

JJ复鸡鸡 JJ复鸡鸡当前离线积分 7716	7^# 发表于 2018-7-3 10:08:01 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
JJ复鸡鸡 JJ复鸡鸡当前离线积分 7716
	回复支持反对举报

[经验] 出大事了老铁们，微信SDK爆出XXE任意文件读漏洞