当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020845

漏洞标题:纽曼手机官网注入可致秒杀插队(或用户地址泄露)

相关厂商:纽曼电子

漏洞作者: 路人甲

提交时间:2013-03-28 19:20

修复时间:2013-04-02 19:20

公开时间:2013-04-02 19:20

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:12

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-28: 细节已通知厂商并且等待厂商处理中
2013-04-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

微博传闻,纽曼某四核手机将在公元2013年4月1日发售,秒杀价98元,限量100台。
媒体:疯了!四核机仅98元!
众人:求秒杀攻略!求各浏览器开发抢票器!
到了2013年4月1日,12点00分02秒。
众人:怎么这么快就“活动结束”了?!官方骗人!骗人!
他们不知道的是,某V在2013年4月1日又11点59分58秒的时候,早已使出一招“时光腾挪术”,将其中的99台收入囊中;还顺带查了一下,参与这次秒杀之前,数据库已经有上w条收货地址,也许,这些收货地址,早已在另一个V的库中。
某V:我秒的不是手机,是传统企业进军电商的风险警示。
(以上情节纯属虚构,如有雷同,纯属巧合)

详细说明:

这套程序应该不是ecshop,而是自己编写的(还是外包?),结合到ecshop中。
但犯下的是一个低级的SQL注入,导致整个数据库均沦陷。
同时由于为root权限,要沦陷整台服务器估计是比较简单的事情。
注入点在参数id:
http://www.newman.mobi/default.php?m=default&c=shop&a=item&id=70
试想,某人可以用一条SQL进行恶意秒杀,比如秒杀插队、取消别人秒杀订单…...让多少粉丝情何以堪……
但这不是最严重的。最严重的,是数据库拖库,导致用户账号、收货地址等泄露,被用于营销甚至是邮包诈骗……
传统企业进军电商有风险,行事需谨慎。

漏洞证明:

ecs_1.png


Database: `xxxxxx-www`
Table: ecs_user_address
[15 columns]
+---------------+-----------------------+
| Column        | Type                  |
+---------------+-----------------------+
| address       | varchar(120)          |
| address_id    | mediumint(8) unsigned |
| ………………………………………………………………………. |
+---------------+-----------------------+
SELECT count(*) FROM ecs_user_address:    '63914'    //6w个收货地址,搞营销的开心了!
Database: `xxxxxx-www`
Table: ecs_order_info
[62 columns]
+-----------------+-----------------------+
| Column          | Type                  |
+-----------------+-----------------------+
| order_id        | mediumint(8) unsigned |
| address         | varchar(255)          |
|    ……………………………………………………………………….   |
+-----------------+-----------------------+
SELECT count(*) FROM ecs_order_info:    '2XXXX'    //2w多条订单信息,搞邮包诈骗的开心了!

修复方案:

如果是外包的,请立刻找外包解决问题;不是的话,全面检查修复。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-04-02 19:20

厂商回复:

漏洞Rank:10 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-28 19:31 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    我是V,你有什么好说的?我看很多人说说“WQNMLGB”,除了“我去年买了个表”还有好多说法,比如“我劝你们撸管吧”、“我求你迷恋哥吧”、“我气你妹隆G杯”等等。其实真正的含义是.........“温去年灭了个薄”......

  2. 2013-03-28 21:18 | isxenos ( 实习白帽子 | Rank:71 漏洞数:8 | 也好)

    我去年买了个表

  3. 2013-03-29 14:32 | 小痞子 ( 普通白帽子 | Rank:106 漏洞数:21 | <xss>alert("a")</xss>¥&@&……dssKhwjcw...)

    我前年买了个表

  4. 2013-04-02 19:32 | 小鸡鸡 ( 实习白帽子 | Rank:40 漏洞数:10 )

    纽曼不要脸 欺骗我感情

  5. 2013-04-02 21:35 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @小胖子 黑阔怎样收这99台呢

  6. 2013-04-03 01:05 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @xsser 这个5天怎么算的...感觉纽曼没看过...

  7. 2013-04-26 10:20 | sysALong ( 路人 | Rank:19 漏洞数:5 | 电脑里的AV片 永远 和 电脑旁的卫生纸 成 ...)

    尼玛,又要秒杀了有木有? 这次他们聪明了,用淘宝了有木有?@小胖子