当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140989

漏洞标题:万银财富基金另一分站存在多处SQL注入(DBA权限+几千万数据库信息泄漏)

相关厂商:万银财富

漏洞作者: 路人甲

提交时间:2015-09-16 15:12

修复时间:2015-11-02 15:08

公开时间:2015-11-02 15:08

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-16: 细节已通知厂商并且等待厂商处理中
2015-09-18: 厂商已经确认,细节仅向厂商公开
2015-09-28: 细节向核心白帽子及相关领域专家公开
2015-10-08: 细节向普通白帽子公开
2015-10-18: 细节向实习白帽子公开
2015-11-02: 细节向公众公开

简要描述:

存在多处SQL注入,且为DBA权限,可致几千万敏感信息泄漏

详细说明:

首先主站的
WooYun: 基金安全之万银财富基金主站SQL注入两枚(涉及多个库大量数据) 

http://www.wy-fund.com/index.php?m=instarea&c=inbrok&a=init&inst_id=55   参数inst_id存在注入
www.wy-fund.com/index.php?m=instarea&c=infund&inst_code=80000220         inst_code布尔型盲注


依旧没有修复

我们来看看分站的!~~~
http://micro.wy-fund.com
话说好像写着乐视财经,跟乐视有关系么?
http://finance.letv.com/
这个连接里面好像有这样的连接到micro这边来哦?
“沪深300走势图”和“收益排行”这两个板块都有连接到micro.wy-fund.com这里
您好,乐视是万银财富官方战略合作伙伴,万银财富网是证监会批准的第三方基金销售机构,资格号是:000000320


在在http://micro.wy-fund.com/?leshi/home.info/270025抓包有两处注入的地方,分别为下面的注入1和注入3了!~~~

0.jpg


1、

http://micro.wy-fund.com/?leshi/home.info/270025


以及

http://leshi.wy-fund.com/


这个界面抓包
获得get的地址

http://micro.wy-fund.com/api.php?fundId=000001&date1=20150901&date2=20150903&amount=111111 (GET)
http://leshi.wy-fund.com/api.php?fundId=000001&date1=20150902&date2=20150904&amount=1222222 (GET)


经测试,fundId存在注入,DBA权限,可以获取几千万数据信息。
但是

http://leshi.wy-fund.com/api.php?fundId=000001&date1=20150902&date2=20150904&amount=1222222 (GET)


经测试,这个的fundId不能注入了,能不能绕过就没有继续了!~~~

1.jpg


2.jpg


3.jpg


4.jpg


5.jpg


6.jpg


7.jpg


2、

http://micro.wy-fund.com/?leshi/home.info/270025


测试

http://micro.wy-fund.com/?leshi/home.info/270025'


返回

Fatal error: Uncaught SoapFault exception: [Client] looks like we got no XML document in /workspace/microphp/application/modules/Leshi/controllers/home.php:155 Stack trace: #0 /workspace/microphp/application/modules/Leshi/controllers/home.php(155): SoapClient->__call('run', Array) #1 /workspace/microphp/application/modules/Leshi/controllers/home.php(155): SoapClient->run('{"class":"FundD...') #2 [internal function]: Home->doInfo('270025'') #3 /workspace/microphp/MicroPHP.min.php(855): call_user_func_array(Array, Array) #4 /workspace/microphp/index.php(472): WoniuRouter::loadClass() #5 {main} thrown in /workspace/microphp/application/modules/Leshi/controllers/home.php on line 155


猜测存在注入,然后用sqlmap测试
存在时间盲注,速度超级慢,也是DBA权限,获取的信息如上
因时间盲注,只能静静等待,我在测试中翻看网页,结果就猜解过程中出错了,可能我网速实在太慢的原因?
这个可谓测试了半个小时才获取了这些点信息,留给有耐心的人去测试吧!~~~用上面的就速度快,这样就可以了!~~~

2-1.jpg


2-2.jpg


3、
资产配置---数据截止时间
这里更改时间抓包,可以得到POST数据

http://micro.wy-fund.com/getcode.php (POST)
date=20150630&fund=270025


fund存在注入,且看sqlmap测试,剩下的比较慢,就看第一个点的就行了!~~~

8.jpg


9.jpg


10.jpg

漏洞证明:

如上

修复方案:

过滤修复
权限限制

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-09-18 15:06

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向证券业信息化主管部门通报,由其后续协调网站管理单位处置.

最新状态:

暂无