当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-080773

漏洞标题:学而思某分站一个未修复SQL注入漏洞引发的敏感信息泄漏(微信公众号可被控制)

相关厂商:好未来集团学而思培优

漏洞作者: Coffee

提交时间:2014-10-25 22:11

修复时间:2014-12-09 22:12

公开时间:2014-12-09 22:12

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-25: 细节已通知厂商并且等待厂商处理中
2014-10-28: 厂商已经确认,细节仅向厂商公开
2014-11-07: 细节向核心白帽子及相关领域专家公开
2014-11-17: 细节向普通白帽子公开
2014-11-27: 细节向实习白帽子公开
2014-12-09: 细节向公众公开

简要描述:

有的厂商会对一些无关核心数据(用户名密码)的SQL注入漏洞不以为意。
其实,SQL注入漏洞导致的信息泄漏风险可能远不限于用户数据。
安全无小事,希望能引起一些厂商的重视。

详细说明:

WooYun: 学而思某业务SQL注入漏洞
这是一个人才招聘系统的SQL注入漏洞,一般认为这样的注入得到的都是对测试者没有太大价值的信息(求职信息、求职者的账号),无法造成更严重的影响,所以厂商确认后也没有进行修复。
但实际上,除去将系统配置记入文件的情况,许多网站也会将配置保存在数据库中,这时SQL注入漏洞可能会导致更多的敏感信息泄漏。
以这个注入漏洞为例,数据库job.xueersi.org包含如下表:
……
| system_config |
| system_contract |
| system_custom |
| system_custom_title |
| system_custom_title_option |
| system_identitycheck |
| system_identitycheck_log |
| system_interview |
| system_job_level |
| system_job_type |
| system_mail |
| system_set |
| system_sms |
| system_sms_log |
| system_sms_payment_log |
| system_tool |
| system_user_from |
| system_user_type |
……
简单验证发现,system_config、system_mail、system_set、system_sms存储的系统配置包含敏感信息。
system_mail:

job_id,system_mail_id,system_user_from_id,system_mail_port,system_mail_desc,system_mail_isssl,system_mail_isspa,system_mail_istls,system_mail_status,system_mail_account,system_mail_password,system_mail_pop_addr
0,19,0,110,<blank>,0,0,0,0,123@xueersi.com,***马赛克***,POPCOM.263XMAIL.COM
0,20,0,110,<blank>,0,0,1,1,zhaopinzu@100tal.com,t***马赛克***3,POP.100TAL.COM
85,21,14,110,<blank>,0,1,0,1,zkzhaopin@xueersi.com,zhi***马赛克***011,POPCOM.263XMAIL.COM
84,22,14,110,<blank>,0,1,0,1,zhaopin1@xueersi.com,z***马赛克***3,POPCOM.263XMAIL.COM
0,23,0,110,<blank>,0,0,1,1,campus@100tal.com,t***马赛克***3,POP.100TAL.COM
0,24,0,110,<blank>,0,0,1,1,jiaoshizhaopin@100tal.com,t***马赛克***3,pop.100tal.com


system_set:

310,发送邮件是否同时发送短信,发送邮件是否同时发送短信,<blank>,<blank>,0
320,系统外发邮箱设置,系统外发邮箱设置,<blank>,"a:3:{s:11:""mail_sender"";s:15:""好未来教育"";s:6:""isSmtp"";s:1:""1"";s:4:""smtp"";a:7:{s:12:""mail_account"";s:14:""job@100tal.com"";s:13:""mail_password"";s:13:""hwl***马赛克***@#$"";s:14:""mail_smtp_addr"";s:15:""smtp.100tal.com"";s:9:""mail_port"";s:2:""25"";s:10:""mail_isssl"";s:1:""0"";s:10:""mail_istls"";s:1:""0"";s:10:""mail_isspa"";s:1:""1"";}}",1
330,系统内部员工验证,系统内部员工验证,<blank>,"a:3:{s:3:""set"";i:2;s:3:""pwd"";s:6:""***马赛克***"";s:4:""code"";s:30:""ewn***马赛克***4sh"";}",1
340,试卷成绩有效期,试卷成绩有效期,<blank>,0,0


system_sms:

system_sms_id,system_sms_url,system_sms_max,system_sms_left,system_sms_type,system_sms_init,system_sms_name,system_sms_total,system_sms_status,system_sms_return,system_sms_verify,system_sms_sub_num,system_sms_charset,system_sms_account,system_sms_service,system_sms_password
1,http://sdkhttp.eucp.b2m.cn/sdk/SDKService?wsdl,0,3687,<blank>,0,yi_mei_ruan_tong,18,1,"a:8:{i:0;s:18:""短信发送成功"";i:17;s:18:""发送信息失败"";i:18;s:24:""发送定时信息失败"";i:303;s:21:""客户端网络故障"";i:305;s:45:""服务器端返回错误,错误的返回值"";i:307;s:71:""目标电话号码不符合规则,电话号码必须是以0、1开头"";i:997;s:72:""平台返回找不到超时的短信,该信息是否成功无法确定"";i:998;s:93:""由于客户端网络问题导致信息发送超时,该信息是否成功下发无法确定"";}",<blank>,70,utf-8,3SDK***马赛克***MKSLK,<blank>,6***马赛克***3


总结一下,数据库中存储了内部招聘密码、短信发送接口账户配置。

内部招聘1.jpg


内部招聘2.jpg


除此以外,以上表通过smtp配置形式共泄漏了6个内部邮箱账号,均可成功登录,包含大量邮件。



mask 区域


*****op*****






u@100tal.com
zk





mask 区域


*****op*****






in@xueersi.com
zh





mask 区域


*****in*****






1@xueersi.com





mask 区域


*****pu*****






s@100tal.com
ji





mask 区域


*****zha*****






n@100tal.com
job@100tal.com


zhaopinzu@100tal.jpg


job@100tal.jpg


邮件.jpg


邮箱中包含整个集团通讯录。并且,其中一个邮箱还可用于登录集团的微信公众号。

企业通讯录.jpg


微信公众平台.jpg


再进一步利用(分析Log表中的行为信息、邮箱撞库攻击、利用招聘邮箱发送虚假信息),还可能带来更大的风险。未深入。

漏洞证明:

企业通讯录.jpg


微信公众平台.jpg

修复方案:

#1、过滤参数(虽然这个可能不是你们做的系统,但修复起来也就十几行代码的事吧)
#2、修改泄漏的密码(主要是6个内部邮箱、1个微信公众号)

版权声明:转载请注明来源 Coffee@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-10-28 17:16

厂商回复:

感谢,督促工程师修复中

最新状态:

暂无