当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-073845

漏洞标题:某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏

相关厂商:JiaThis

漏洞作者: Walnut King

提交时间:2014-09-17 12:20

修复时间:2014-11-01 12:22

公开时间:2014-11-01 12:22

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-17: 细节已通知厂商并且等待厂商处理中
2014-09-17: 厂商已经确认,细节仅向厂商公开
2014-09-27: 细节向核心白帽子及相关领域专家公开
2014-10-07: 细节向普通白帽子公开
2014-10-17: 细节向实习白帽子公开
2014-11-01: 细节向公众公开

简要描述:

成因:过期(3年前)抽奖活动页面中出现SQL注入
危害:
1.用户数据泄漏
2.公司内部信息泄漏
3.网站后台管理员信息泄漏(可控制客户信息及获取运营数据)

详细说明:

加网主页www.jiathis.com某过期活动页面可导致sql注入(POST方式),仅jiathis业务有近50w条客户数据泄漏。后台管理权限泄漏,可更改任意用户信息及运营数据。
注入页面是偶然发现的某过期活动页面,这种页面属于长期被遗忘在角落的东西,定期安全检查及代码更新应该覆盖不到,感觉可能存在漏洞
http://www.jiathis.com/event/iphone5/
恰巧在下图位置发现数据提交框,尝试输入注入数据验证一下,发现提交按钮已锁定,此路不通。

QQ截图20140825210721.png


但我仍然不死心,在页面代码中找到了遗留的js脚本:

function getwinner(type) {
		if(type != 1) {
			setTimeout(function() {
				$('#div-show'+type).hide();
			},10000);
		}
		var domain = $('input[name=domain'+type+']').val();
		var uid = $('input[name=uid'+type+']').val();
		$('span[id^=winner'+type+'_]').attr('class','');
		if(domain != '' || uid != '') {
			var data = '';
			if(domain != '' && uid != '') {
				data = "domain="+domain+"&uid="+uid;
			} else {
				data = domain ? "domain="+domain : "uid="+uid;
			}
			$.ajax({
				'type':'post',
				'url': "http://www.jiathis.com/event/searchwinner/"+type,
				'data':data,
				'success':function(msg) {
					var str = '';
					if(msg == 'no') {
						str = '咦,亲,本次没有找到你的UID哦。看来你需要抽取后面的大奖喽,加油!';
					} else {
						$('#winner'+type+'_'+msg).addClass('winner');
					}
				}
			});
		} else {
			if(type == 3) {
				$('#div-show'+type).html('请输入邮箱或者UID').show();
			}
		}
	}


随即直验证该post请求,果然发现一sql注入漏洞。
虽然页面屏蔽按钮但请求接口依然存在。
以后就是用sqlmap验证并挖掘信息,详见以下:
1.sqlmap对注入点验证:

sqlmap.png


2.按业务划分数据库表:

Image2.png


3.每个表中均有管理员及用户信息:

Image3.png


4.jiathis客户信息数量

Image.png


5.部分客户信息

QQ截图20140825204236.png


6.管理员权限设置json串中可见网站结构信息,据此可推测网站后台路径

QQ截图20140825204826.png


7.管理员表中密码存在弱口令,可据此登录网站后台,后台页面:

QQ截图6.png


QQ截图7.png


可登录多个系统后台。
由于后台不稳定,担心影响公司正常业务,未尝试上传webshell,若webshell上传成功有快速拖库风险。

漏洞证明:

sqlmap.png

修复方案:

1.过期页面处理请及时且彻底。
2.管理员修改弱口令(杜绝纯数字、8位以下密码)。
3.多业务不公用数据库,数据库权限分配合理。
另:网站服务器https端口打开,如果不是正常业务请关闭。

版权声明:转载请注明来源 Walnut King@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-09-17 13:45

厂商回复:

漏洞的页面存在于早前已下线的活动页面,比较隐蔽,现已修复,感谢白帽子。

最新状态:

2014-09-17:需要说明一下,用户密码等隐私数据,我们全部进行了加盐(salt)处理,这方面是安全的。对个别的弱口令网站管理员帐号,我们进行了相应的处理。

漏洞评价:

评论

  1. 2014-08-26 17:18 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    自身流量就非常高,好厉害

  2. 2014-08-26 18:35 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    这个值得关注下,社会化分享,又是个第三方坑

  3. 2014-09-17 14:23 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    加盐(salt)也是有规则的,有些也是可以解密的,应该与小米、电玩巴士的加密方式如出一辙

  4. 2014-09-17 15:38 | 北京加网时代科技有限公司(乌云厂商)

    @浩天 每个用户有自己独立的salt,然后再单向哈希加密。