当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0167805

漏洞标题:茅台又一处含有爆炸能量的小漏洞

相关厂商:emaotai.cn

漏洞作者: ksss

提交时间:2016-01-07 13:47

修复时间:2016-02-20 15:48

公开时间:2016-02-20 15:48

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-07: 细节已通知厂商并且等待厂商处理中
2016-01-08: 厂商已经确认,细节仅向厂商公开
2016-01-18: 细节向核心白帽子及相关领域专家公开
2016-01-28: 细节向普通白帽子公开
2016-02-07: 细节向实习白帽子公开
2016-02-20: 细节向公众公开

简要描述:

安全无小事,一个小弱点含有引爆所有业务的能量
危害这么大,不过知道不会给我送茅台的,那就给个20吧

详细说明:

爆炸能量包含主站shell、所有用户、订单、支付线沦陷
#1
首先是一个一处未授权访问的接口
http://www.emaotai.cn:90/oAPI/API/eCenter/Member/GetMemberlist
这个接口用于输出用户信息,然后用khmc接收参数来进行限定
http://www.emaotai.cn:90/oAPI/API/eCenter/Member/GetMemberlist?khmc=%E4%B9%B0%E4%B9%90%E4%B9%90
这个算一个小小的用户数据泄露吧,然后接着往下,可以直接获取到积分、余额、住址、联系方式等等

QQ截图20160106135957.png


#2
然而这个接口的能量远不止如此,它对接收的参数的宽容性导致了,提交什么都直接放入语句中执行,下面这张图就可以看出来了
主站50W会员的数据表,包括账号密码地址联系方式,而且涉及账户金额,这个密码泄露还是危害蛮大的。。。。
注入点
http://www.emaotai.cn:90/oAPI/API/eCenter/Member/GetMemberlist?khmc=%E4%B9%B0%E4%B9%90%E4%B9%90
dba权限,感觉所有数据库都在这了,数据量非常大

QQ截图20160106140222.png


QQ截图20160106140333.png


#3
然而管理员信息也泄露了,后台可以直接getshell,而且付款什么的设置都在这儿,这个被篡改了危害相当严重啊

QQ截图20160106140742.png


QQ截图20160106142139.png


QQ截图20160106141002.png


主站shell,直接中间商平台内部销售平台等等都在这儿
shell地址,修漏洞的时候记得删:
http://www.emaotai.cn/Storage/master/banner/20160106102147_8175.aspx
厂商也蛮良心的,仅测试、未做任何改动,未动任何数据~~

漏洞证明:

QQ截图20160106141002.png


QQ截图20160106140742.png

修复方案:

1.还是权限问题,接口安全必须注意
2.为什么能找到这么隐蔽的接口,因为开发把源码放git上了,让人白盒测试可得非常经得起考验啊
3.至于注入点修复应该不是什么难题

版权声明:转载请注明来源 ksss@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-01-08 09:30

厂商回复:

感谢您的反馈,我们将尽快修复!

最新状态:

暂无


漏洞评价:

评价