当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-098682

漏洞标题:四川航空某俱乐部某页面多个参数存在SQL注入(DBA权限)之二

相关厂商:四川航空

漏洞作者: Ch4r0n

提交时间:2015-02-28 12:13

修复时间:2015-04-14 12:14

公开时间:2015-04-14 12:14

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:11

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-02-28: 细节已通知厂商并且等待厂商处理中
2015-03-04: 厂商已经确认,细节仅向厂商公开
2015-03-14: 细节向核心白帽子及相关领域专家公开
2015-03-24: 细节向普通白帽子公开
2015-04-03: 细节向实习白帽子公开
2015-04-14: 细节向公众公开

简要描述:

测试了一个,http://www.wooyun.org/bugs/wooyun-2015-098382,提交了,管理员审理很快,无聊睡不着又测试看看是否还有,结果还真发现了有些鸡肋的一个注入点。
PS:这个算大厂商还是小厂商呢?
再PS:谁知道漏洞审核后如何知道走了大厂商流程还是小厂商流程,不懂怎么区分

详细说明:

1、注入点一

http://ffp.scal.com.cn/FFPNewWeb/Mileage/SegmentMilesQuery


存在注入页面.jpg


抓包得到
========================

POST http://ffp.scal.com.cn/FFPNewWeb/Mileage/QuerySegmentMiles HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://ffp.scal.com.cn/FFPNewWeb/Mileage/SegmentMilesQuery
Accept-Language: zh-CN
Accept-Encoding: gzip, deflate
Connection: Keep-Alive
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0; QQBrowser/8.0.3197.400)
Content-Length: 23
Host: ffp.scal.com.cn
Pragma: no-cache
Cookie: ASP.NET_SessionId=gveql0t5zg2n0txz4wojhljm
OrgCity=CTU&DesCity=CAN


==========================
跟第一个提交的一样,两个参数都存在boolean-based blind和AND/OR time-based blind注入
2、注入点二

http://ffp.scal.com.cn/FFPNewWeb/Account/Register


注册.jpg


抓包得到
========================

POST http://ffp.scal.com.cn/FFPNewWeb/Account/AJAXRegister HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://ffp.scal.com.cn/FFPNewWeb/Account/Register
Accept-Language: zh-CN
Accept-Encoding: gzip, deflate
Connection: Keep-Alive
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0; QQBrowser/8.0.3197.400)
Content-Length: 230
Host: ffp.scal.com.cn
Pragma: no-cache
Cookie: ASP.NET_SessionId=gveql0t5zg2n0txz4wojhljm
LastName=%E7%8E%8B&FirstName=%E4%BA
%8C&FoidType=IDCARD&FoidNo=435890198807080918&Password=123456&ConfirmPassword=123456&MobilePhone=1381380
0138&EMail=wooyun%40163.com&MobileCode=1234&Birthday=1988-07-08&Salutation=1&ValidCode=AGDI


========================
MobilePhone存在注入

漏洞证明:

直接sqlmap测试,因为从大牛测试得知是Oracle数据库,直接加上--dbms “Oracle”加快测试
1、注入点一

sqlmap.jpg


--current-db --current-user.jpg


--is-dba.jpg


--dbs.jpg


--tables -D SCAR.jpg


2、注入点二

--current-db --current-user.jpg


--is-dba.jpg


--users.jpg


说注入点二有些鸡肋,获取数据库只能获取当前数据库,其余的显示不出来,而获取用户也只能显示33个中的23个,水平太菜,不懂怎么绕过注入,还请大牛们可以指导!~~~
3、Oracle数据库多,表也多,就SCAR就379个表了,里面的数据应该有上万的数据,合起来估计不小了,就不继续测试了!~~~

修复方案:

过滤修复
安全狗
我不是专业的,你们懂得比我多

版权声明:转载请注明来源 Ch4r0n@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-03-04 14:15

厂商回复:

CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向网站管理单位通报。

最新状态:

暂无

漏洞评价:

评论