订单填报系统设计缺陷导致整站信息泄露

因装修计划购入整木楼梯，因美步楼梯报价较高，故通过网上搜索想进一步探寻底价，查找到美步楼梯QQ群，进而看到其“订单填报系统”下载地址

下载安装发现需要申请注册，并发送注册申请并由厂家发送注册文件才可使用订单系统。看到安装路径内有mdb文件，正准备查看是否加密，却注意到软件内有“数据库配置”一项。内有数据库连接信息，但密码是星号显示，测试连接成功。顿时欣喜，用星号查看器即可明文显示密码。

拿出SQL综合利用工具尝试登陆，成功。

通过SQL执行DOS命令、SQL命令、修改注册表、上传文件均成功，看样子权限足够高，准备进SQL数据库看看。

新建个系统用户，提下权试试，成功。不想搞破坏再删除掉吧。这时候你想开3389远程都没问题了。

接下来进SQL数据库看看吧，用Navicat for SQL Server直接连接即可

所有信息一览无遗了，找到了我需要的经销商政策及价格信息。至于修改经销商付款，账户余额什么的，就算了。我也不希望该司的商业信息泄露。

注意到数据库不仅仅是订单填报系统，还有BBS、EXCLE系统、ERP等，上传个一句话什么的，就可以列尽目录文件了，通过翻看目录找到如下后台地址。还有些没开放的在开放中的网站就不列举了。

http://www.mobostair.com/esweb/

http://www.mobostair.com/ecom/

http://www.mobostair.com/eswebmdm/

http://bbs.mobostair.com/Admin/SignIn.aspx

多个系统进入后台自然是手到擒来，从数据库找到用户密码但是MD5加密或其他变异base64加密，未能直接查到明文，直接替换为弱口令密文即可成功登录，再修改回原密文即可。登录记录在数据库中均有对应的表，可以清理。

至此这台服务器也没什么隐私在眼前了，查看、修改、备份、上传下载均随意了。当然由于系统庞大复杂，没时间多看，截个图证明下而已。虽然内部必然有更多漏洞就不深入研究了，堵住源头就好。

http://www.mobostair.com/wooyun.aspx

http://bbs.mobostair.com/wooyuntest.aspx

写两个探针证明下

一开始只是抱着了解产品的目的，恰巧用了一点点社工混入经销商群（其实不加群一样能看到群内会员签名留的下载地址）。

其实只需要将订单填报系统1.76设计缺陷修复，不提供数据库配置接口，本地数据库信息文件再加密，即可避免数据库连接信息泄露造成的一连串隐私外泄隐患。修改数据库sysadmin权限账号的密码并删除旧版本下载路径。

至于各后台的管理员权限登录，数据库内原密码密文足够强健，我只是通过数据库直接改为弱口令密码绕过破解密文，才登录进入的。

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：15 (WooYun评价)