当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116064

漏洞标题:伊利某系统SQL注入导致全国经销网络被我所控

相关厂商:yili.com

漏洞作者: cmwl

提交时间:2015-06-08 10:15

修复时间:2015-07-23 11:28

公开时间:2015-07-23 11:28

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-08: 细节已通知厂商并且等待厂商处理中
2015-06-08: 厂商已经确认,细节仅向厂商公开
2015-06-18: 细节向核心白帽子及相关领域专家公开
2015-06-28: 细节向普通白帽子公开
2015-07-08: 细节向实习白帽子公开
2015-07-23: 细节向公众公开

简要描述:

一个SQL注入漏洞,泄漏上亿条经销信息,进而引发对伊利全国经销网络的控制。
系统信息太多,客户太多,不敢做任何数据改动,只求gift!

详细说明:

SQL注入点:

http://ytncrm.yili.com/find_password_tj.asp


POST数据:

login=abc&email=a@qq.com


同时,登录处也存在SQL注入。

漏洞证明:

一些数据库信息(粗略统计所有表数据有上亿条):

数据库名列表.png


数据表:

db-tables-1.png


db-tables-2.png


db-tables-3.png


db-tables-4.png


一张发货表的条目数(一千五百多万条):

发货表.png


一些与登录经销系统操作有关的数据表:

details-2.png


details-3.png


以上两张表,再加上伊利带的一个密盾(有了手机号就不密了。。。。。),现在可以登录5千多个经销系统用户,其中包括角色,每个角色有不同的功能,如:客户角色、订单处理员角色、销售区域角色、营销总经理角色、计划经理角色、渠道(营销总部)等等。。。。。。。。。。太多了,基本上什么事都能干:

登录用户一.jpg


登录用户二.png


邮箱服务器:

details-1.png

修复方案:

输入参数过滤!

版权声明:转载请注明来源 cmwl@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-06-08 11:27

厂商回复:

谢谢你的关注,及提出该漏洞,我们会尽快做出处理,非常感谢!

最新状态:

2015-06-08:请作者留下联系方式,便于我们沟通联系,谢谢你。

漏洞评价:

评论

  1. 2015-06-08 12:06 | 大山 ( 路人 | Rank:2 漏洞数:1 | 学习、求知)

    厉害,方便留下联系方式,请教交流

  2. 2015-06-08 12:10 | 伊利集团(乌云厂商)

    @cmwl,如方便请留下联系方式,便于进一步请教,急盼!

  3. 2015-06-08 13:06 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @cmwl 请留下联系方式,你的gift经过管理决定送的韩红充气wawa,已发申通快递,请及时查收!

  4. 2015-06-08 14:25 | 白开水 ( 普通白帽子 | Rank:242 漏洞数:27 | 苍茫的天涯是我的爱~)

    @cmwl,如方便请留下联系方式,便于进一步请教,急盼!

  5. 2015-06-09 14:17 | 伊利集团(乌云厂商)

    @cmwl.礼物牛奶已经发放,已经发顺丰快递,请及时查收

  6. 2015-07-23 12:08 | 这只猪 ( 路人 | Rank:5 漏洞数:2 | 南无阿弥陀佛!)

    卧槽厂商大方啊!给楼主送了一头 奶牛 !!!! 我也要挖伊利的洞,求送 奶羊