当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116851

漏洞标题:票友ERP网页版售票系统40多处注射漏洞打包(该系统可以导致泄露大量机票等用户敏感信息)

相关厂商:票友软件

漏洞作者: 路人甲

提交时间:2015-05-29 11:20

修复时间:2015-09-06 00:00

公开时间:2015-09-06 00:00

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-29: 细节已通知厂商并且等待厂商处理中
2015-06-03: 厂商已经确认,细节仅向厂商公开
2015-06-06: 细节向第三方安全合作伙伴开放
2015-07-28: 细节向核心白帽子及相关领域专家公开
2015-08-07: 细节向普通白帽子公开
2015-08-17: 细节向实习白帽子公开
2015-09-06: 细节向公众公开

简要描述:

44处注入;良心白帽子就不分开提交了,希望厂商能不能好好地从根源修复一下?乌云就喜欢我们这种打包的人,哎!不说了,真羡慕你们这些城里的人!

详细说明:

来个首页吧~建议交由CNVD好好地转达给票友修复;维护客户利益;也希望厂商从代码根源去修复漏洞----
记得某天晚上看到路人甲直接刷了一片票友的系统的漏洞,如果我没猜错的话,那些漏洞是一个ID为Er打头的小伙子提交的~后来这些漏洞被公开之后发现厂商的确对系统有做修复,但未对程序本身做修复,只不过是在程序内置增加了一些WAF机制,而且这个WAF机制仅仅对GET类型的数据传输做了处理,对于POST的完全没有进行处理!常规的SQL注入语句已经无法进行注入,而这些WAF机制却能够轻易地绕过,甚至连SQLMAP自动化注入工具也能够直接绕过进行注入。使用SQLMAP工具加载“space2comment.py”就可以直接绕过官方的WAF机制了;这程序员也太懒了吧,这WAF还不如一个安全狗;研究了一下票友ERP网页版的系统发现诸多的注入;这里列出44处乌云平台无重复的注入(27处GET型注入+17处POST型注入);
官方的介绍:

http://www.pekpiaoyou.com/Internet.htm  票友ERP网页版


SQL注入点:(与乌云现公开的无重复记录)

GET类型(27处):
1、/Parmset/sms_mb_edit.aspx?id=
2、/Sales/meb_edit.aspx?id= 
3、/Sales/meb_his.aspx?id=
4、/Other/hotel_edit.aspx?id=
5、/Visa/visa_edit.aspx?id= 
6、/Visa/gjqz_add.aspx?id=214
7、/flight/Print_tp.aspx?sid=
8、/flight/Print_tp_3.aspx?sid=
9、/Other/train_order_detail.aspx?id=
10、/flight/scgq_detail.aspx?id=
11、/Finance/Inv_req.aspx?id=
12、/flight/refund_update.aspx?id=
13、/Json_db/flight_cycn.aspx?dtype=0&sdate=*             sdate参数存在注入
14、/Other/Edit.aspx?id=
15、/Json_db/flight_zhekou.aspx?sd=
16、/flight/Html.aspx?id=
17、/Finance/Invoice_detail.aspx?id=
18、/Json_db/other_report.aspx?its=11&dfs=0&jq=0&sdate=   sdate参数存在注入
19、/info/zclist_new.aspx?id=
20、/Other/train_input.aspx?memberid=
21、/Other/hotel_input.aspx?memberid= 
22、/Other/input.aspx?memberid=
23、/flight/Print_url_sel.aspx?id=
24、/flight/Refund.aspx?id=
25、/flight/Xcd_selected.aspx?id=
26、/System/history.aspx?id= 
27、/flight/scgq.aspx?id=
POST类型注入(17处):
28、/Finance/Chart_pie.aspx      生成图表时Post数据中的username参数存在注入
29、/member/cardnum_rec.aspx     查询中POST中的meb参数存在注入
30、/flight/hf_history.aspx      查询中POST中的keyword参数存在注入
31、/bx/product.aspx             产品设置中POST中的product参数存在注入
32、/Finance/bank.aspx           帐户设置中POST中的bank参数存在注入
33、/Finance/other_cn.aspx       查询中POST中的kefu参数存在注入 
34、/member/cjr.aspx             查询中POST中的key参数存在注入
35、/Finance/Balance.aspx        生产报表中POST中的参数sdate存在注入
36、/Finance/Deposit.aspx        查询中POST中的sdate参数存在注入
37、/Finance/details.aspx        查询中POST中的sdate参数存在注入
38、/Finance/Chart_money.aspx    生产图表中POST中的kefu参数存在注入
39、/System/roles.aspx           新建角色中POST中的rolename参数存在注入
40、/System/group.aspx           新建分组中POST中的bmname参数存在注入
41、/System/history.aspx         查询中POST中的key参数存在注入
42、/Parmset/city.aspx           查询中POST中的keyword参数存在注入
43、/Parmset/km.aspx             查询中POST中的keyword参数存在注入
44、/Sales/meb_top.aspx          排序中POST中的flag参数存在注入


Case:(太晚了就不翻案例了,复制前人案例来吧)

http://demo.piaoyou.org/ (官方demo)
http://oa.ryxtrip.com/
http://oa.cht-travel.com/
http://py.4008836868.com/
http://cz.4000211929.com/
http://wh.4000211929.com/
http://oa.starstrip.net/
http://sdn.4000211929.com/
http://oa.yccas.com/
http://oa.wuzhouair.com/
等等....

漏洞证明:

下面就是测试这44枚注入点了;不多说这些注入点找起来容易,测试起来证明截图就难了!所以说:“没有功劳也有苦劳啊!”先说一下这些票友系统是给哪些客户我也没仔细看,但是下面的测试都是简单的证明;并未获取任何敏感的数据,因为涉及到售票方面,甚至都没有读取表的名称;以下是随机案例的简单证明注入问题:

第一处:/Parmset/sms_mb_edit.aspx?id=
01.png




第二处:/Sales/meb_edit.aspx?id= 



02.png




第三处:/Sales/meb_his.aspx?id=



03.png




第四处:/Other/hotel_edit.aspx?id=



04.png




第五处:/Visa/visa_edit.aspx?id= 



05.png




第六处:/Visa/gjqz_add.aspx?id=214



06.png




第七处:/flight/Print_tp.aspx?sid=



07.png




第八处:/flight/Print_tp_3.aspx?sid=



08.png




第九处:/Other/train_order_detail.aspx?id=



09.png




第十处:/flight/scgq_detail.aspx?id=



10.png




第十一处:/Finance/Inv_req.aspx?id=



11.png




第十二处:/flight/refund_update.aspx?id=



12.png




第十三处:/Json_db/flight_cycn.aspx?dtype=0&sdate=    sdate参数存在注入



13.jpg







14.png




第十四处:/Other/Edit.aspx?id=



15.png




第十五处:/Json_db/flight_zhekou.aspx?sd=



16.png







17.png




第十六处:/flight/Html.aspx?id=



18.png




第十七处:/Finance/Invoice_detail.aspx?id=



19.png




第十八处:/Json_db/other_report.aspx?its=11&dfs=0&jq=0&sdate=       sdate参数存在注入



20.png







21.png




第十九处:/info/zclist_new.aspx?id=



22.png




第二十处:/Other/train_input.aspx?memberid=



23.png




第二十一处:/Other/hotel_input.aspx?memberid= 



24.png




第二十二处:/Other/input.aspx?memberid=



25.png




第二十三处:/flight/Print_url_sel.aspx?id=



26.png




第二十四处:/flight/Refund.aspx?id=



27.png




第二十五处:/flight/Xcd_selected.aspx?id=



28.png




第二十六处:/System/history.aspx?id= 



29.png




第二十七处:/flight/scgq.aspx?id=



30.png




第二十八处:/Finance/Chart_pie.aspx  生成图标时Post数据中的username参数存在注入



31.png







32.png




第二十九处:/member/cardnum_rec.aspx  查询中POST中的meb参数存在注入



33.png




第三十处:/flight/hf_history.aspx   查询中POST中的keyword参数存在注入



34.png




第三十一处:/bx/product.aspx     产品设置中POST中的product参数存在注入



35.png




第三十二处:/Finance/bank.aspx   帐户设置中POST中的bank参数存在注入



36.png




第三十三处:/Finance/other_cn.aspx   查询中POST中的kefu参数存在注入



37.png




第三十四处:/member/cjr.aspx     查询中POST中的key参数存在注入



38.png




第三十五处:/Finance/Balance.aspx  生产报表中POST中的参数sdate存在注入



39.png







40.png




第三十六处:/Finance/Deposit.aspx   查询中POST中的sdate参数存在注入



41.png







42.png




第三十七处:/Finance/details.aspx   查询中POST中的sdate参数存在注入



43.png







44.png




第三十八处:/Finance/Chart_money.aspx    生产图表中POST中的kefu参数存在注入



45.png







46.png




第三十九处:/System/roles.aspx    新建角色中POST中的rolename参数存在注入



47.png




第四十处:/System/group.aspx    新建分组中POST中的bmname参数存在注入



48.png




第四十一处:/System/history.aspx   查询中POST中的key参数存在注入



49.png




第四十二处:/Parmset/city.aspx   查询中POST中的keyword参数存在注入



50.png




第四十三处:/Parmset/km.aspx     查询中POST中的keyword参数存在注入



51.png




第四十四处:/Sales/meb_top.aspx   排序中POST中的flag参数存在注入



52.png


证明证的累死了~厂商千万不要浪费我的劳动成果

修复方案:

厂商要是真的很懒得话,教你一招直接修复越权问题就好了~Rank20+总是要给的吧?别舍不得啊!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-06-03 10:33

厂商回复:

CNVD确认并复现所述情况,已经由CNVD按4月份获知的软件生产厂商邮件联系方式向其通报,涉及的案例较多,暂未能一一处置,已经向软件生产厂商说明.

最新状态:

暂无

漏洞评价:

评论

  1. 2015-05-29 11:23 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    槽,这特么就是诈骗团伙的ATM好么!

  2. 2015-05-29 11:28 | 冰海 ( 实习白帽子 | Rank:70 漏洞数:7 | I can do better , why not ?)

    良心白帽子就不分开提交了

  3. 2015-05-29 11:33 | 小包子 ( 普通白帽子 | Rank:100 漏洞数:19 | 关注技术与网络安全)

    目测都已经重复的漏洞。。。

  4. 2015-05-29 11:41 | 北京方便面 认证白帽子 ( 核心白帽子 | Rank:876 漏洞数:66 | 我爱吃北京方便面)

    良心白帽子

  5. 2015-05-29 12:30 | only_admin ( 路人 | Rank:11 漏洞数:5 | ~~~~我只是个孩子╭(°A°`)╮~~~~)

    @爱上平顶山 说你呢

  6. 2015-05-29 12:35 | 冰海 ( 实习白帽子 | Rank:70 漏洞数:7 | I can do better , why not ?)

    我也是良心白帽,嘿嘿,要不 WooYun: 拉勾网某设计缺陷导致30000份儿童节礼物免费送 这30000礼物我就刷了 ^-^

  7. 2015-05-29 12:39 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @only_admin 不是一回事

  8. 2015-05-29 12:39 | only_admin ( 路人 | Rank:11 漏洞数:5 | ~~~~我只是个孩子╭(°A°`)╮~~~~)

    @冰海 送什么

  9. 2015-05-29 14:02 | 冰海 ( 实习白帽子 | Rank:70 漏洞数:7 | I can do better , why not ?)

    @only_admin 有洗车券、酒店券、礼盒券、美甲券等5个种类。

  10. 2015-05-29 14:11 | 孤零落叶寒 ( 普通白帽子 | Rank:162 漏洞数:26 | 今天的跌倒是是为了明天更好的站着)

    真羡慕你们这些城里的人

  11. 2015-05-29 15:13 | 冰海 ( 实习白帽子 | Rank:70 漏洞数:7 | I can do better , why not ?)

    @爱上平顶山 此平顶山 <=> 彼平顶山 ?俺想确认下恁是不是平顶山人 ^-^

  12. 2015-05-29 16:19 | bitcoin ( 普通白帽子 | Rank:715 漏洞数:218 | 学习是最好的投资!)

    @疯狗 为什么我发的票友ERP网页版售票系统没有人审核呢?都一个月了。http://wooyun.org/bugs/wooyun-2015-0112092/trace/08ba281dc49d51219833e796e8674211http://wooyun.org/bugs/wooyun-2015-0112088/trace/1d45a35a653a031a96c20a33c2666838http://wooyun.org/bugs/wooyun-2015-0112064/trace/182bfdf2e376c878b87e4557211663ce

  13. 2015-05-29 17:11 | 撸撸侠 ( 普通白帽子 | Rank:250 漏洞数:26 | 我是撸撸侠)

    @bitcoin 这样匿名的一个个刷 真的好么