当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0165742

漏洞标题:安徽省某市旅馆入住记录系统漏洞(涉及全市开房信息/泄露大量在住人身份信息/查房系统实时查看/近千个旅馆信息)

相关厂商:公安一部

漏洞作者: 路人甲

提交时间:2015-12-29 14:46

修复时间:2016-02-12 18:49

公开时间:2016-02-12 18:49

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(公安部一所)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-29: 细节已通知厂商并且等待厂商处理中
2015-12-31: 厂商已经确认,细节仅向厂商公开
2016-01-10: 细节向核心白帽子及相关领域专家公开
2016-01-20: 细节向普通白帽子公开
2016-01-30: 细节向实习白帽子公开
2016-02-12: 细节向公众公开

简要描述:

详细说明:

这次的很曲折,**.**.**.**/login.jsp?gotourl=http%3A%2F%2F**.**.**.**%2Findex.jsp&errmsg=&_dc=1451370538439 存在命令执行,但是权限被降权了,无法添加管理员,一开始进了死胡同了
就要提权拿到服务器,因为这套源码验证session,你不登录打开任何jsp都是跳转到login.jsp。弄了两天,没拿下,后来想通了,我只要读取数据库的配置,然后随便拿个shell配置读取下就行了,因为数据库一般是外网,经过测试成功。
涉及了马鞍山全市的旅馆详情,这个市旅馆好多,目测1000+
下面会给出部分旅馆编号验证,还是123456偏多,有些已经改掉了。。

漏洞证明:

db.png

web.png

web1.png

web2.png

web3.png

web4.png

web5.png

xinxi.png

xinxi1.png

xinxi3.png

xinxi4.png

xinxi5.png

xinxi6.png

xinxi7.png

xinxi8.png

Query#0 : select * from "JDR"
ID
VARCHAR2	LGBM
VARCHAR2	XM
VARCHAR2
bc2beeeb3d86a5e4013da600c2ba001b	3405036120	mascs
bc2beeeb3e7d9518013e80c21382027d	3405036107	石林
bc2beeeb3e9d4c7b013ec19b3f5d2ade	3405030008	无
bc2beeeb3e9d4c7b013ecbc95b3d35a0	3405036273	汪小丽
bc2beeeb3ed4173a013ee105f2b612fc	3405040006	徐银风
bc2beeeb3e9d4c7b013ed1868f4a3d53	3405036249	章昌安
bc2beeeb3ed4173a013edab5433e0cd1	3405036077	梅花园宾馆
bc2beeeb3ee9e427013eeac4a174010f	3405036245	西马克技术
bc2beeeb3ee9e427013eeacf6462011e	3405036245	圣戈班
bc2beeeb3ee9e427013eeae773770144	3405030013	陈小姐
bc2beeeb3ee9e427013eeb0be2170177	3405036245	无
bc2beeeb3ee9e427013eefd50a8805d3	3405036245	马钢车轮
bc2beeeb3ee9e427013eeffb493105fe	3405036245	大同佳乐登
bc2beeeb3ee9e427013ef12aa9420768	3405036245	安徽华菱汽车股份有限公司
bc2beeeb3ee9e427013ef39bbf6a088a	3405036245	山鹰造纸厂
bc2beeeb3ee9e427013ef4d52cff0a03	3405036245	香川卓也
bc2beeeb3ee9e427013ef8b0e2d50d40	3405036245	宫坂尚武
bc2beeeb3ee9e427013eff44cba21391	3405036332	ALWBHOOHAT
bc2beeeb3ee9e427013effdcd3a11464	3405036332	无
bc2beeeb3ee9e427013f18f89f1d2935	3405036245	马钢技术中心
bc2beeeb3ee9e427013f1d0cd8f02cac	3405036245	雨山区招商局
bc2beeeb3f1d9690013f1e075ab400a1	3405036245	NDT技术有限公司
bc2beeeb3f1d9690013f2989efa50f64	3405036245	马鞍山市天钧机械公司
bc2beeeb3f1d9690013f327f36f71821	3405036245	长江泛太(中国)控股有限公司
bc2beeeb3f1d9690013f3d9f8ce322a9	3405046315	梦都
bc2beeeb3f1d9690013f4e7244b932f0	3405036245	蒙牛乳业有限公司
bc2beeeb3f1d9690013f5184f10935f0	3405040001	李君一
bc2beeeb3f1d9690013f65c630974ed1	3405041285	陈惠燕
bc2beeeb3f1d9690013f576a3f3e3d76	3405036245	港华燃气
bc2beeeb3f1d9690013f58016f403e9f	3405036245	朗绪科技
bc2beeeb3f1d9690013f731c710d5e79	3405036245	马鞍山汇华贸易有限责任公司
bc2beeeb3f1d9690013f76ab4c356504	3405036245	秀山房地产
bc2beeeb3f1d9690013f805af6d06f1c	3405036245	马鞍山市政府招商局
bc2beeeb3f1d9690013f8d3c5ed207fe	3405036245	上海帕卡濑精有限公司
bc2beeeb3f1d9690013f93ca9d8c0fe4	3405036026	王平
bc2beeeb3f1d9690013f952190bc12d2	3405036245	中芬美达利马鞍山钢业有限公司
bc2beeeb3f1d9690013fa41a29802838	3405040005	胡芳芳
bc2beeeb3f1d9690013fa4745d90291b	3405270005	111
bc2beeeb3f1d9690013fd28ee8057939	3405040005	夏
bc2beeeb3f1d9690013fd339ee3b7b9c	3405212026	changjiang
bc2beeeb3fdfe379013fe32598c10a1e	3405036245	威龙科工贸有限公司
bc2beeeb3fdfe379013fe7e04cb31238	3405210900	毛万龙
bc2beeeb3fdfe379013ff144136c223c	3405036245	Ctrip Best Flex
bc2beeeb3fdfe3790140075cf9c5456d	3405036245	宇广磁业
bc2beeeb3fdfe379014020823ca67cfd	3405036245	马鞍山市西满塑料包装有限公司
bc2beeeb3fdfe37901402f4d77861ac7	3405220124	久工
bc2beeeb3fdfe37901402f62e8991b19	3405210201	周婷婷
bc2beeeb3fdfe37901402f63ba971b1f	3405210201	陈莎莎
bc2beeeb3fdfe37901402f6410f01b21	3405210201	季祥芳
bc2beeeb41bb04040142096b2ba43496	3405036245	埃克森美孚(中国)投资有限公司
bc2beeeb3fdfe37901402f6443751b24	3405210201	任佳佳
bc2beeeb4221239501424b5c3dea7d30	3405036245	格嘉贸易(上海)有限公司
bc2beeeb3fdfe37901402f6498291b29	3405210201	陶青
bc2beeeb42212395014250c31c816af2	3405220003	招商局
bc2beeeb4221239501425c434f283577	3405046151	严清华
bc2beeeb3fdfe37901403f890be94373	3405036245	市政府(台湾事务办公室)
bc2beeeb404dd9a8014052bbc6810c13	3405036245	利乐中国包装有限公司
bc2beeeb404dd9a80140594e43df1df3	3405212077	无
bc2beeeb404dd9a801405c2523dd220a	3405212066	无
bc2beeeb404dd9a801406cc156f34915	3405036239	王萍
bc2beeeb404dd9a801407198fcc153c9	3405210066	欣怡阳光
bc2beeeb4072014601407271d5c60347	3405220124	三联久保田
bc2beeeb40754c8101407d684c5417a2	3405036259	LI
bc2beeeb40754c810140825c2b9822c0	3405036245	马鞍山中环工业设备有限责任公司
bc2beeeb4085d67e0140c9a82afe554e	3405040001	张宪平
bc2beeeb4085d67e0140ca4dc02a190f	3405036245	振宏物资贸易有限公司
bc2beeeb4085d67e0140e79d290b13e9	3405036245	Bhp Billiton Limited
bc2beeeb4085d67e0140e8dfb20a7e36	3405036268	朱
bc2beeeb4085d67e0140ebe034711ed0	3405220117	阁林
bc2beeeb4085d67e0140ede0aff15e68	3405210705	刘元和
bc2beeeb4085d67e0140fc833697120c	3405036245	马钢晋西轨道交通装备有限公司
bc2beeeb4085d67e0141080c70ba6e58	3405220124	鑫桥户外家具
bc2beeeb4085d67e0141127a763a4dfe	3405220124	斯瑞尔阀门
bc2beeeb4085d67e014118da374a00a2	3405212028	王福宏
bc2beeeb4085d67e01412c3be673688c	3405036245	当涂经济开发区
bc2beeeb4085d67e014130b48a223cec	3405036245	马鞍山秀山房地产开发有限公司
bc2beeeb4085d67e014136572d0f7739	3405036245	小南山矿
bc2beeeb4085d67e0141a24407a2175f	3405036245	马鞍山润华钢铁材料有限公司
bc2beeeb4085d67e0141b5df81cc5e75	3405210001	汪主任
bc2beeeb4085d67e01416b1d9b294c1a	3405212017	江菊平
bc2beeeb4085d67e014183eadc7d019a	3405212111	张琴
bc2beeeb41bb04040141bf14f40d4843	3405212085	朱先锋
bc2beeeb41bb04040141cc1f48d16710	3405220183	SONGZHIFANG
bc2beeeb42212395014269e448a048fe	3405036245	星马汽车
bc2beeeb4221239501426ef8a44a4c89	3405036247	005
bc2beeeb422123950142760ca2c33d36	3405036245	市土地发展中心
bc2beeeb4221239501427aab64627052	3405042200	前台
bc2beeeb422123950142806b72d55a01	3405036245	新开元酒店
bc2beeeb422123950142835faa7b434a	3405210001	高小姐
bc2beeeb42212395014293074d637bdf	3405036245	台湾办事处
bc2beeeb422123950142d18e9dec5596	3405036249	倪道富
bc2beeeb422123950142995cc1ed5995	3405060022	服务员
bc2beeeb422123950142c1eba3696e80	3405036245	东食贸易
bc2beeeb422123950142f5051a455152	3405036245	恒久特材有限公司
bc2beeeb422123950143060603c278f6	3405036245	马钢外办
bc2beeeb42212395014349569bc445c2	3405036245	深圳市杨梅红文化发展有限公司
bc2beeeb4356610501435858cbd62fa0	3405036065	牛功青
bc2beeeb4361fac8014362ed9e491e71	3405036245	安徽诚兴置业有限公司
bc2beeeb4361fac8014386db93bf17c9	3405210201	陶诗星
bc2beeeb4361fac801438ac17294582d	3405036245	北京市康布斯技术发展有限公司
bc2beeeb4361fac80143959c803f2802	3405220003	李晓旭
bc2beeeb4361fac80143aad6de134501	3405036245	马鞍山市中海新材料有限公司
bc2beeeb4361fac80143bdf5acc44730	3405212026	李弋杨
bc2beeeb4361fac801441f58ab2b0082	3405036245	中国建设银行马鞍山分行
bc2beeeb4361fac801442ef2dbec5ed1	3405036608	大地
bc2beeeb4361fac80144345ec6f0233a	3405036245	马鞍山市旅游管理局
bc2beeeb4361fac8014435a21f003ac2	3405220124	埃维柯阀门
bc2beeeb4361fac801444ce439765af7	3405036245	小南山
bc2beeeb4361fac801444fae17b33b25	3405048802	好
bc2beeeb4361fac801445339b7a11f5c	3405030032	秀艺宫
bc2beeeb3e9d4c7b013eac1ac7da1509	3405036337	liwen
bc2beeeb3e9d4c7b013eaca46a8615a4	3405036128	刘军
bc2beeeb3ee9e427013eee5449d8040a	3405040005	王
bc2beeeb3ee9e427013ef03a9ad70651	3405036245	华菱汽车
bc2beeeb446cf47b0145365b7195125b	3405210201	王兆俊
bc2beeeb446cf47b01454676485860f9	3405036245	华清集团股份有限公司
bc2beeeb3f1d9690013f9cb176331c09	3405230124	李莹
bc2beeeb3f1d9690013fae5db1b2366d	3405036201	中央花园店
bc2beeeb3f1d9690013fb3aba48c3e46	3405036259	李
bc2beeeb3fdfe379013fe666048b0e0d	3405030031	009
bc2beeeb3fdfe379013fe73b0e0e1049	3405036245	奥镁贸易(大连)有限公司
bc2beeeb3fdfe379013fe7eee0a3125c	3405060038	李小燕
bc2beeeb3fdfe3790140007ae0e639ef	3405040001	严法顺
bc2beeeb3fdfe379014005ec6243424b	3405036259	赵
bc2beeeb3fdfe37901400b85572a4bc5	3405212054	麻光文
bc2beeeb3fdfe379014017c1075267d0	3405036245	天钧机械
bc2beeeb4085d67e01409c1268765d05	3405036245	科达机电有限公司
bc2beeeb4085d67e0140b5bd7a315cea	3405213020	马鞍山市当涂县石桥镇永兴服装厂

jdbc.driverClass=oracle.jdbc.driver.OracleDriver
jdbc.url=jdbc:oracle:thin:@**.**.**.**:1521:orcl
jdbc.user=hotel
jdbc.password=mashotelshjc3405!

数据库配置

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-12-31 15:04

厂商回复:

感谢提交!!
验证确认所描述的问题,已通知其修复。

最新状态:

暂无