当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0213399

漏洞标题:从百度智能微校新项目到拿下中国青少年基金系统(可篡改捐款金额)

相关厂商:cncert国家互联网应急中心

漏洞作者: Aasron

提交时间:2016-05-27 15:09

修复时间:2016-07-15 11:20

公开时间:2016-07-15 11:20

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-27: 细节已通知厂商并且等待厂商处理中
2016-05-31: 厂商已经确认,细节仅向厂商公开
2016-06-10: 细节向核心白帽子及相关领域专家公开
2016-06-20: 细节向普通白帽子公开
2016-06-30: 细节向实习白帽子公开
2016-07-15: 细节向公众公开

简要描述:

上个厕所的功夫,看到这个广告,来测试了一下

详细说明:

为响应李克强总理“十年内解决村小硬件问题”和“互联网+”的号召,切实解决贫困地区教学基础设施的现实问题,百度携手希望工程及中国青少年发展基金会,引入物联网技术,开创“互联网+公益”全新模式联合五位顶尖建筑设计师,一同走进广西壮族自治区和的5个偏远山区贫困小学,共启“5元新校舍”公益活动,为这里的孩子建设低成本智能化新校舍,建成真正以学生学校实际需求为导向的智能希望小学。


1.png


这个项目不错,是个福利,使用我的工具找到一处注入,

GET /netpay/Bankpayment.aspx?DynamicKey=dba9a062-ed84-406e-a383-d4745bc41e3a&OrderNo=W1605270637&ExpTime=-1 HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Connection: close
Accept-Encoding: gzip, deflate
Cache-Control: no-cache
Host: **.**.**.**
Pragma: no-cache


注入参数#DynamicKey


OnSetStateFailLog
 PCharitableProject
 PCharitableProject
 PManageUser
 PMapItems
 PayOrder
 Pro_ProjectItem
 Pro_ProjectItem
 Pro_Types
 Puserinfo
 Sfa_City
 Sfa_Rovince
 Sys_Config
 Sys_Deptment
 Sys_DeptmentType
 Sys_Emplates
 Sys_Files
 Sys_Foundation
 Sys_LockKey
 Sys_MapItems
 Sys_Maps
 Sys_Module
 Sys_ModuleType
 Sys_Msg
 Sys_NoRule
 Sys_NoRuleType
 Sys_Notice
 Sys_OnlineUser
 Sys_RolePermission
 Sys_Roles
 Sys_UserPermission
 Sys_UserRoles
 Sys_UserType
 Sys_Users
 Sys_tabs
 V_Projects
 donate_Donman
 donate_OrderItems
 donate_Orders
 netpay_AliData
 netpay_CYDFWeb
 netpay_ConfigSet
 netpay_EpayData
 netpay_HaierPayData
 netpay_TengData
 netpay_WxAccount
 netpay_WxQcode
 netpay_ZhaoData
 por_PortalModules
 tb_temp1
 tb_temp1
 temp_1
 temp_Project
 temp_url
 tmp_ProjectCount
 vw_ProjectCount
 vw_Years

漏洞证明:

1.png


看到了一个365,估计是办公系统的库,这个暂且不管,先看本库,有2014年至2016年的全部捐款信息,权限DBA,可垮裤查询

1.png


有支付订单的痕迹
共26W+捐款人信息

"AuditDate","datetime"
"ExpTime","int"
"FeeRateType","int"
"IsSendDon","int"
"IsSendReqWeb","int"
"Note","varchar"
"NoticeUrl","varchar"
"PayCharitable","varchar
"PayDate","datetime"
"PayID","varchar"
"Payment","int"
"PayMoney","numeric"
"PayOrder","varchar"
"PayPayee","varchar"
"PayState","int"
"PayType","varchar"
"PayUser","varchar"
"ProCode","varchar"
"QualeID","int"
"RequestUrl","varchar"
"ShowUrl","varchar"


找找C段,得到几个系统
第一个微信捐款系统

http://**.**.**.**/login/index


存在弱口令问题

admin/123456


1.png


在下面可修改捐款金额,可怕

1.png


1.png


打开微信公众号看下

1.png


1.png


是没有限制捐款额度的

1.png


我这里修改定额为1000,页面效果

1.png


注:为了证明危害修改了一下,目前已修改回来


其它系统,就不用测试,这个SQL注射数据库高权限,可以把所有的库给拖下来了,包括捐款人绑定的电话号码,地址,姓名等数据
不深入了

修复方案:

过滤
弱口令问题

版权声明:转载请注明来源 Aasron@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-05-31 11:10

厂商回复:

CNVD未直接复现所述情况,暂未建立与网站管理单位的直接处置渠道,待认领。

最新状态:

暂无