票友ERP网页版售票系统40多处注射漏洞打包（该系统可以导致泄露大量机票等用户敏感信息）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0116851

漏洞标题：票友ERP网页版售票系统40多处注射漏洞打包（该系统可以导致泄露大量机票等用户敏感信息）

漏洞作者：路人甲

提交时间：2015-05-29 11:20

修复时间：2015-09-06 00:00

公开时间：2015-09-06 00:00

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-05-29：细节已通知厂商并且等待厂商处理中
2015-06-03：厂商已经确认，细节仅向厂商公开
2015-06-06：细节向第三方安全合作伙伴开放
2015-07-28：细节向核心白帽子及相关领域专家公开
2015-08-07：细节向普通白帽子公开
2015-08-17：细节向实习白帽子公开
2015-09-06：细节向公众公开

简要描述：

44处注入；良心白帽子就不分开提交了，希望厂商能不能好好地从根源修复一下？乌云就喜欢我们这种打包的人，哎！不说了，真羡慕你们这些城里的人！

详细说明：

来个首页吧~建议交由CNVD好好地转达给票友修复；维护客户利益;也希望厂商从代码根源去修复漏洞----
记得某天晚上看到路人甲直接刷了一片票友的系统的漏洞，如果我没猜错的话，那些漏洞是一个ID为Er打头的小伙子提交的~后来这些漏洞被公开之后发现厂商的确对系统有做修复，但未对程序本身做修复，只不过是在程序内置增加了一些WAF机制，而且这个WAF机制仅仅对GET类型的数据传输做了处理，对于POST的完全没有进行处理！常规的SQL注入语句已经无法进行注入，而这些WAF机制却能够轻易地绕过，甚至连SQLMAP自动化注入工具也能够直接绕过进行注入。使用SQLMAP工具加载“space2comment.py”就可以直接绕过官方的WAF机制了；这程序员也太懒了吧，这WAF还不如一个安全狗；研究了一下票友ERP网页版的系统发现诸多的注入；这里列出44处乌云平台无重复的注入(27处GET型注入+17处POST型注入)；
官方的介绍：

http://www.pekpiaoyou.com/Internet.htm  票友ERP网页版

SQL注入点：(与乌云现公开的无重复记录)

GET类型(27处)：
1、/Parmset/sms_mb_edit.aspx?id=
2、/Sales/meb_edit.aspx?id= 
3、/Sales/meb_his.aspx?id=
4、/Other/hotel_edit.aspx?id=
5、/Visa/visa_edit.aspx?id= 
6、/Visa/gjqz_add.aspx?id=214
7、/flight/Print_tp.aspx?sid=
8、/flight/Print_tp_3.aspx?sid=
9、/Other/train_order_detail.aspx?id=
10、/flight/scgq_detail.aspx?id=
11、/Finance/Inv_req.aspx?id=
12、/flight/refund_update.aspx?id=
13、/Json_db/flight_cycn.aspx?dtype=0&sdate=*             sdate参数存在注入
14、/Other/Edit.aspx?id=
15、/Json_db/flight_zhekou.aspx?sd=
16、/flight/Html.aspx?id=
17、/Finance/Invoice_detail.aspx?id=
18、/Json_db/other_report.aspx?its=11&dfs=0&jq=0&sdate=   sdate参数存在注入
19、/info/zclist_new.aspx?id=
20、/Other/train_input.aspx?memberid=
21、/Other/hotel_input.aspx?memberid= 
22、/Other/input.aspx?memberid=
23、/flight/Print_url_sel.aspx?id=
24、/flight/Refund.aspx?id=
25、/flight/Xcd_selected.aspx?id=
26、/System/history.aspx?id= 
27、/flight/scgq.aspx?id=
POST类型注入(17处):
28、/Finance/Chart_pie.aspx      生成图表时Post数据中的username参数存在注入
29、/member/cardnum_rec.aspx     查询中POST中的meb参数存在注入
30、/flight/hf_history.aspx      查询中POST中的keyword参数存在注入
31、/bx/product.aspx             产品设置中POST中的product参数存在注入
32、/Finance/bank.aspx           帐户设置中POST中的bank参数存在注入
33、/Finance/other_cn.aspx       查询中POST中的kefu参数存在注入 
34、/member/cjr.aspx             查询中POST中的key参数存在注入
35、/Finance/Balance.aspx        生产报表中POST中的参数sdate存在注入
36、/Finance/Deposit.aspx        查询中POST中的sdate参数存在注入
37、/Finance/details.aspx        查询中POST中的sdate参数存在注入
38、/Finance/Chart_money.aspx    生产图表中POST中的kefu参数存在注入
39、/System/roles.aspx           新建角色中POST中的rolename参数存在注入
40、/System/group.aspx           新建分组中POST中的bmname参数存在注入
41、/System/history.aspx         查询中POST中的key参数存在注入
42、/Parmset/city.aspx           查询中POST中的keyword参数存在注入
43、/Parmset/km.aspx             查询中POST中的keyword参数存在注入
44、/Sales/meb_top.aspx          排序中POST中的flag参数存在注入

Case:(太晚了就不翻案例了，复制前人案例来吧)

http://demo.piaoyou.org/ （官方demo）
http://oa.ryxtrip.com/
http://oa.cht-travel.com/
http://py.4008836868.com/
http://cz.4000211929.com/
http://wh.4000211929.com/
http://oa.starstrip.net/
http://sdn.4000211929.com/
http://oa.yccas.com/
http://oa.wuzhouair.com/
等等....

漏洞证明：

下面就是测试这44枚注入点了；不多说这些注入点找起来容易，测试起来证明截图就难了！所以说：“没有功劳也有苦劳啊！”先说一下这些票友系统是给哪些客户我也没仔细看，但是下面的测试都是简单的证明；并未获取任何敏感的数据，因为涉及到售票方面，甚至都没有读取表的名称；以下是随机案例的简单证明注入问题：

第一处：/Parmset/sms_mb_edit.aspx?id=



第二处：/Sales/meb_edit.aspx?id= 





第三处：/Sales/meb_his.aspx?id=





第四处：/Other/hotel_edit.aspx?id=





第五处:/Visa/visa_edit.aspx?id= 





第六处：/Visa/gjqz_add.aspx?id=214





第七处：/flight/Print_tp.aspx?sid=





第八处：/flight/Print_tp_3.aspx?sid=





第九处：/Other/train_order_detail.aspx?id=





第十处：/flight/scgq_detail.aspx?id=





第十一处：/Finance/Inv_req.aspx?id=





第十二处：/flight/refund_update.aspx?id=





第十三处：/Json_db/flight_cycn.aspx?dtype=0&sdate=    sdate参数存在注入










第十四处：/Other/Edit.aspx?id=





第十五处：/Json_db/flight_zhekou.aspx?sd=










第十六处：/flight/Html.aspx?id=





第十七处：/Finance/Invoice_detail.aspx?id=





第十八处：/Json_db/other_report.aspx?its=11&dfs=0&jq=0&sdate=       sdate参数存在注入










第十九处：/info/zclist_new.aspx?id=





第二十处：/Other/train_input.aspx?memberid=





第二十一处：/Other/hotel_input.aspx?memberid= 





第二十二处：/Other/input.aspx?memberid=





第二十三处：/flight/Print_url_sel.aspx?id=





第二十四处：/flight/Refund.aspx?id=





第二十五处：/flight/Xcd_selected.aspx?id=





第二十六处:/System/history.aspx?id= 





第二十七处：/flight/scgq.aspx?id=





第二十八处：/Finance/Chart_pie.aspx  生成图标时Post数据中的username参数存在注入










第二十九处：/member/cardnum_rec.aspx  查询中POST中的meb参数存在注入





第三十处：/flight/hf_history.aspx   查询中POST中的keyword参数存在注入





第三十一处：/bx/product.aspx     产品设置中POST中的product参数存在注入





第三十二处：/Finance/bank.aspx   帐户设置中POST中的bank参数存在注入





第三十三处：/Finance/other_cn.aspx   查询中POST中的kefu参数存在注入





第三十四处：/member/cjr.aspx     查询中POST中的key参数存在注入





第三十五处：/Finance/Balance.aspx  生产报表中POST中的参数sdate存在注入










第三十六处：/Finance/Deposit.aspx   查询中POST中的sdate参数存在注入










第三十七处：/Finance/details.aspx   查询中POST中的sdate参数存在注入










第三十八处：/Finance/Chart_money.aspx    生产图表中POST中的kefu参数存在注入










第三十九处：/System/roles.aspx    新建角色中POST中的rolename参数存在注入





第四十处：/System/group.aspx    新建分组中POST中的bmname参数存在注入





第四十一处：/System/history.aspx   查询中POST中的key参数存在注入





第四十二处：/Parmset/city.aspx   查询中POST中的keyword参数存在注入





第四十三处：/Parmset/km.aspx     查询中POST中的keyword参数存在注入





第四十四处：/Sales/meb_top.aspx   排序中POST中的flag参数存在注入