当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-085248

漏洞标题:中粮我买网某系统存在SQL盲注(群发短信+10万短信轰炸)

相关厂商:中粮我买网

漏洞作者: 蓝冰

提交时间:2014-11-29 18:34

修复时间:2015-01-13 18:36

公开时间:2015-01-13 18:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-29: 细节已通知厂商并且等待厂商处理中
2014-12-01: 厂商已经确认,细节仅向厂商公开
2014-12-11: 细节向核心白帽子及相关领域专家公开
2014-12-21: 细节向普通白帽子公开
2014-12-31: 细节向实习白帽子公开
2015-01-13: 细节向公众公开

简要描述:

拿真金白银轰炸你~~~

详细说明:

POST注入 http://sms.womai.com/login.aspx
用户名输入单引号无任何错误 都是统一的登录失败 万能密码也无效
本以为没有注入漏洞 结果扫出了一个日志文件
http://sms.womai.com/log.txt

屏幕快照 2014-11-28 17.17.47.png


可以确定系统没有进行过滤 只是把错误信息给隐藏了
这样可以利用时间盲注进行注入
刚好验证码存在缺陷 导致可以重复利用
这下可以直接拿sqlmap跑了

屏幕快照 2014-11-28 17.17.34.png


屏幕快照 2014-11-28 18.06.13.png


跑出了这么些数据库 权限是sa权限 不过xp_cmdshell被降权无法利用
接着跑超级管理员密码 破解登录

屏幕快照 2014-11-28 22.26.33.png


屏幕快照 2014-11-29 15.22.23.png


信息泄漏

屏幕快照 2014-11-29 15.22.10.png


还有10多万条余额 要是被不法分子利用 危害可想而知

屏幕快照 2014-11-29 13.39.49.png


最后发了一条短信 仅供测试用 未动其他数据

屏幕快照 2014-11-29 15.20.48.png


漏洞证明:

已证明

修复方案:

过滤或者换一套系统

版权声明:转载请注明来源 蓝冰@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-12-01 10:45

厂商回复:

谢谢

最新状态:

暂无