当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0161211

漏洞标题:富驿时尚酒店Getshell(控内网近10个主域名+近20库+近200万用户信息+60多万会员卡)

相关厂商:富驿时尚酒店

漏洞作者: cmwl

提交时间:2015-12-14 15:04

修复时间:2016-01-25 18:01

公开时间:2016-01-25 18:01

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

注入、上传拿全部控制权
这里必须得说一句,很多厂商给的礼品都太小气了,幸好我们是小白帽,不是小黑帽。。。。。。
这回必须得对得起为个洞的礼品了!!!!!!!!!!!!!!!!!!!!!!!!

详细说明:

www.fxhotels.com主站存在SQL注入:

URL:
http://www.fxhotels.com/index.aspx
POST数据:
act=hotels&citycode=NKG


管理后台存在任意文件上传:

URL:
http://www.fxhotels.com/addhotels.aspx


漏洞证明:

首先来看注入点,列出的数据库列表:

human_dbs.jpg


然后查看了一个ibe数据库的表项和对应数据行数:

human_ibe_count.jpg


再找,发现了一个DUser表,然后dump一下表内容,完全的明文登录名和密码:

human_ibe_DUser_dump.jpg


高兴了一小下,一看就是后台登录的用户名和密码,但是突然发现还少一样东西:登录页面,于是又继续寻找,扫了扫端口发现8089端口开放着的,于是就访问了一下,果然是后台登录点,用admin:fx1234登录:

admin_web.jpg


这个后台的管理功能太少了,于是大致浏览了一下,发现了一个任意文件上传点:

admin_web_upload_point.jpg


寻找到webshell落地点(http://pic.fxhotels.com:8081/news/Aspnet.aspx),访问:

webshell_main.jpg


ok,已获取系统控制权,下一步就是发现一些具有价值的东西,看了一下目录结构,发现这个web包含了众多的域名:

webshell_domain_list.jpg


几乎就富驿的所有主站点!!!也就是说直接把富驿的网站全控制了
下面查看了一些数据库的连接:

database_config_1.jpg


database_config_2.jpg


经过一翻探索,发现大家感兴趣的数据在CRM里:

webshell_database_1.jpg


查看了一下住房登记表的条目,近200万条:

webshell_database_db_crm_m_customer_count.jpg


列出几条详细信息,太多的在这儿就不列出来了,毕竟是隐私嘛:

webshell_database_db_crm_m_customer_details.jpg


其它的信息,这儿就不多贴上来了
以上列出的所有域名和数据库信息均未做改动
webshell请自行删除,路径已给

修复方案:

参数转义、上传限制

版权声明:转载请注明来源 cmwl@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)