当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116064

漏洞标题:伊利某系统SQL注入导致全国经销网络被我所控

相关厂商:yili.com

漏洞作者: cmwl

提交时间:2015-06-08 10:15

修复时间:2015-07-23 11:28

公开时间:2015-07-23 11:28

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-08: 细节已通知厂商并且等待厂商处理中
2015-06-08: 厂商已经确认,细节仅向厂商公开
2015-06-18: 细节向核心白帽子及相关领域专家公开
2015-06-28: 细节向普通白帽子公开
2015-07-08: 细节向实习白帽子公开
2015-07-23: 细节向公众公开

简要描述:

一个SQL注入漏洞,泄漏上亿条经销信息,进而引发对伊利全国经销网络的控制。
系统信息太多,客户太多,不敢做任何数据改动,只求gift!

详细说明:

SQL注入点:

http://ytncrm.yili.com/find_password_tj.asp


POST数据:

login=abc&email=a@qq.com


同时,登录处也存在SQL注入。

漏洞证明:

一些数据库信息(粗略统计所有表数据有上亿条):

数据库名列表.png


数据表:

db-tables-1.png


db-tables-2.png


db-tables-3.png


db-tables-4.png


一张发货表的条目数(一千五百多万条):

发货表.png


一些与登录经销系统操作有关的数据表:

details-2.png


details-3.png


以上两张表,再加上伊利带的一个密盾(有了手机号就不密了。。。。。),现在可以登录5千多个经销系统用户,其中包括角色,每个角色有不同的功能,如:客户角色、订单处理员角色、销售区域角色、营销总经理角色、计划经理角色、渠道(营销总部)等等。。。。。。。。。。太多了,基本上什么事都能干:

登录用户一.jpg


登录用户二.png


邮箱服务器:

details-1.png

修复方案:

输入参数过滤!

版权声明:转载请注明来源 cmwl@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-06-08 11:27

厂商回复:

谢谢你的关注,及提出该漏洞,我们会尽快做出处理,非常感谢!

最新状态:

2015-06-08:请作者留下联系方式,便于我们沟通联系,谢谢你。