当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148516

漏洞标题:全面诊断之IT桔子6处sql&漏洞小礼包

相关厂商:itjuzi.com

漏洞作者: 路人甲

提交时间:2015-10-22 10:06

修复时间:2015-10-27 10:08

公开时间:2015-10-27 10:08

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-22: 细节已通知厂商并且等待厂商处理中
2015-10-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

岁月桔子个人感觉很不错的,彭先生也不错。。不足的是上次那个T恤太小了,卡不错。嘿嘿。这次全面诊断一次!上个漏洞:http://wooyun.org/bugs/wooyun-2010-0124434

详细说明:

前言:
这次看的是岁月桔子的分站:http://car.itjuzi.com ,之前虽然有人看过,但是不同参数的注入还是存在的,可能平台对于不同参数注入有自己的见解或者说相信厂商的修补以及处理能力,但是黑客/不法分子不会这么认为的,他们只要见“孔”就钻。因此,个人能力也有限。对这个分站这次做了个全面诊断。包括不限于(sql注入/xss/.git泄露等)。层次还算合理。安全无小事!希望包括现在以及日后的安全问题尽快修复!或者需要协助,我本人乐于风险。

漏洞证明:

0x01:sql注入
晚上测试了六个不同的参数,都存在注入的,并且可以注入到数据库。
1、http://car.itjuzi.com/invstdeal?currency=1
2、http://car.itjuzi.com/invstdeal?date=2006
3、http://car.itjuzi.com/invstdeal?prov=%E4%B8%8A%E6%B5%B7
4、http://car.itjuzi.com/invstdeal?similar_money=1
5、http://car.itjuzi.com/invstdeal?round=1
6、http://car.itjuzi.com/news?time=2007
以下分别展示注入的图示结果(以图1跑出库说明,其它类似)

1.jpg


1.png

2.png

3.jpg

4.jpg

5.jpg

6.jpg


0x02:xss
http://car.itjuzi.com/company?status=status&prov=--%3E%27%22%3E%3CH1%3E%E4%B9%8C%E4%BA%91%EF%BC%9A%E5%B8%A6%E5%A4%B4%E5%A4%A7%E5%93%A5%3C%2FH1%3E
很多参数都存在,要全面修补:

1.png


0x03:.git文件泄露

http://car.itjuzi.com/.git/config


1.png

修复方案:

【我是来找礼物的】

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-27 10:08

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

2015-10-27:测试项目。不打算上线。就没太维护。依旧感谢带头大哥治学严谨的态度。