当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014531

漏洞标题:“魂斗罗”手机应用程序SQL注入

相关厂商:万普世纪 www.wapx.cn

漏洞作者: Rkit

提交时间:2012-11-09 10:35

修复时间:2012-12-24 10:36

公开时间:2012-12-24 10:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-11-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-12-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

万普世纪开发(或者只是负责运维)的一款手机应用(魂斗罗30命。。)在拉取用户积分时所使用的URL存在SQL注入。可导致执行系统命令。

详细说明:

万普世纪开发(或者只是负责运维)的一款android手机手机游戏(魂斗罗30命S弹版)在拉取用户积分时所使用的URL对其中的一个参数没有检测,存在SQL注入。且为sysadmin权限。
可以获得数据库版本,操作系统版本,内网信息;
获得/修改用户信息
执行系统命令,直至控制整个内网。

漏洞证明:

搭建好手机android 抓包环境后,得知拉取用户积分信息所使用的关键URL为:
http://app.wapx.cn/action/account/getinfo?udid=*********&app_id=********
对此进行测试,发现没有对app_id进行过滤。
step1: 正常访问

未命名.jpg


step2: 参数加单引号

未命名2.jpg


step3: 万能的 and 1=1 判断

3.jpg


至此,可以确定对方存在SQL注入。接下来判断数据库版本
step4: @@version判断

未命名4.jpg


可以看到,数据库版本信息
step5: 下面判断当前权限

未命名5.jpg


延伸:
app_id为应用程序ID,这个参数有问题,说明这个公司开发或者运维的其他所有应用都存在此问题。

修复方案:

1. 对参数进行严格检查。
2. SQL数据库不要以sysadmin权限运行
3. 获取积分的操作页面进行加密。

版权声明:转载请注明来源 Rkit@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2012-11-09 14:07 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    案例很经典

  2. 2012-11-09 14:24 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    @xsser 魂斗罗也很经典

  3. 2012-11-09 17:14 | Adra1n ( 普通白帽子 | Rank:437 漏洞数:68 )

    @0x_Jin 求细节!!

  4. 2012-11-09 17:15 | Adra1n ( 普通白帽子 | Rank:437 漏洞数:68 )

    @Rkit 求细节!!

  5. 2012-11-10 11:14 | 咖啡 ( 实习白帽子 | Rank:48 漏洞数:20 )

    用Fiddler url吗

  6. 2012-12-24 10:51 | 墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)

    ~~~

  7. 2012-12-24 13:53 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    view-source:注入就不用点右键了。

  8. 2012-12-24 15:46 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    缺陷关联: WooYun: 蚂蜂窝手机应用背后的HTTP API接口存在SQL注入漏洞 (手机应用、api后端安全缺陷)