当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014531

漏洞标题:“魂斗罗”手机应用程序SQL注入

相关厂商:万普世纪 www.wapx.cn

漏洞作者: Rkit

提交时间:2012-11-09 10:35

修复时间:2012-12-24 10:36

公开时间:2012-12-24 10:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-11-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-12-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

万普世纪开发(或者只是负责运维)的一款手机应用(魂斗罗30命。。)在拉取用户积分时所使用的URL存在SQL注入。可导致执行系统命令。

详细说明:

万普世纪开发(或者只是负责运维)的一款android手机手机游戏(魂斗罗30命S弹版)在拉取用户积分时所使用的URL对其中的一个参数没有检测,存在SQL注入。且为sysadmin权限。
可以获得数据库版本,操作系统版本,内网信息;
获得/修改用户信息
执行系统命令,直至控制整个内网。

漏洞证明:

搭建好手机android 抓包环境后,得知拉取用户积分信息所使用的关键URL为:
http://app.wapx.cn/action/account/getinfo?udid=*********&app_id=********
对此进行测试,发现没有对app_id进行过滤。
step1: 正常访问

未命名.jpg


step2: 参数加单引号

未命名2.jpg


step3: 万能的 and 1=1 判断

3.jpg


至此,可以确定对方存在SQL注入。接下来判断数据库版本
step4: @@version判断

未命名4.jpg


可以看到,数据库版本信息
step5: 下面判断当前权限

未命名5.jpg


延伸:
app_id为应用程序ID,这个参数有问题,说明这个公司开发或者运维的其他所有应用都存在此问题。

修复方案:

1. 对参数进行严格检查。
2. SQL数据库不要以sysadmin权限运行
3. 获取积分的操作页面进行加密。

版权声明:转载请注明来源 Rkit@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝