当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0102079

漏洞标题:麦包包某系统SQL注入导致上千家供应商信息泄露

相关厂商:麦包包

漏洞作者: 深度安全实验室

提交时间:2015-03-18 11:16

修复时间:2015-05-02 13:22

公开时间:2015-05-02 13:22

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-18: 细节已通知厂商并且等待厂商处理中
2015-03-18: 厂商已经确认,细节仅向厂商公开
2015-03-28: 细节向核心白帽子及相关领域专家公开
2015-04-07: 细节向普通白帽子公开
2015-04-17: 细节向实习白帽子公开
2015-05-02: 细节向公众公开

简要描述:

详细说明:

漏洞证明:

1.麦包包工作平台

http://dsp.mbaobao.com

1.png


2.登录地方存在SQL注入,其中,Id参数有问题

POST /Login/Index?mtourl=http%3a%2f%2fdsp.mbaobao.com%2f HTTP/1.1
Host: dsp.mbaobao.com
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://dsp.mbaobao.com/Login/Index?mtourl=http%3a%2f%2fdsp.mbaobao.com%2f
Cookie: session_id=1b5m4s9ot72oblviki58t9hmb6; fvt=1426572816; mnt_ticket=7ef3551d-6c9a-4398-8ec7-0af3ce13e93d; tid=635621984173330958; bmw=82e42ace0a1b4904a7568ac7a2b4b4f9; online_type=1; login_user_id=0; cps_uid=11; cps_cid=359573; cps_referer=; cps_sid=; cps_source=; refid=bocom; ASP.NET_SessionId=odjgqamh1ncldef0n5ozw12l
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 20
Id=a&Pwd=a&AuthCode=


3.运行sqlmap,发现14个库

4-3.png


4.以dspO2O库为例,发现9个表

4-3.png


5.以supplier_store表为例,可以查看1000多家供应商各种信息

4-4.png

4-5.png

4-6.png


6.其它库就不搞了

修复方案:

版权声明:转载请注明来源 深度安全实验室@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-03-18 13:20

厂商回复:

感谢洞主,我们将尽快修复。

最新状态:

2015-03-20:已修复

漏洞评价:

评论

  1. 2015-03-18 11:26 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    好想买包包T_T

  2. 2015-03-18 11:29 | Ton7BrEak ( 普通白帽子 | Rank:211 漏洞数:43 | 吃苦耐劳,我只会第一个!)

    @肉肉 让洞主给你发10个~

  3. 2015-03-18 11:43 | 浮世浮城 ( 普通白帽子 | Rank:284 漏洞数:60 | 我存于这俗世烟火的浮世,我爱这时光倒影的...)

    @肉肉 只要擦干眼泪陪洞主睡 想要多少个都不成问题