某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏

admin
admin
admin
144121
文章
118
评论
2015年6月17日12:23:08评论345 views字数 261阅读0分52秒阅读模式
摘要

2014-09-17: 细节已通知厂商并且等待厂商处理中
2014-09-17: 厂商已经确认,细节仅向厂商公开
2014-09-27: 细节向核心白帽子及相关领域专家公开
2014-10-07: 细节向普通白帽子公开
2014-10-17: 细节向实习白帽子公开
2014-11-01: 细节向公众公开

漏洞概要 关注数(14) 关注此漏洞

缺陷编号: WooYun-2014-73845

漏洞标题: 某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏

相关厂商: JiaThis

漏洞作者: Walnut King

提交时间: 2014-09-17 12:20

公开时间: 2014-11-01 12:22

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 12

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: php+字符类型注射 管理后台对外 Mysql 后台被猜解 注射技巧

2人收藏

漏洞详情

披露状态:

2014-09-17: 细节已通知厂商并且等待厂商处理中
2014-09-17: 厂商已经确认,细节仅向厂商公开
2014-09-27: 细节向核心白帽子及相关领域专家公开
2014-10-07: 细节向普通白帽子公开
2014-10-17: 细节向实习白帽子公开
2014-11-01: 细节向公众公开

简要描述:

成因:过期(3年前)抽奖活动页面中出现SQL注入
危害:
1.用户数据泄漏
2.公司内部信息泄漏
3.网站后台管理员信息泄漏(可控制客户信息及获取运营数据)

详细说明:

加网主页www.jiathis.com某过期活动页面可导致sql注入(POST方式),仅jiathis业务有近50w条客户数据泄漏。后台管理权限泄漏,可更改任意用户信息及运营数据。

注入页面是偶然发现的某过期活动页面,这种页面属于长期被遗忘在角落的东西,定期安全检查及代码更新应该覆盖不到,感觉可能存在漏洞

http://www.jiathis.com/event/iphone5/

恰巧在下图位置发现数据提交框,尝试输入注入数据验证一下,发现提交按钮已锁定,此路不通。

某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏

但我仍然不死心,在页面代码中找到了遗留的js脚本:

code 区域 
function getwinner(type) {
   if(type != 1) {
    setTimeout(function() {
     $('#div-show'+type).hide();
    },10000);
   }
   var domain = $('input[name=domain'+type+']').val();
   var uid = $('input[name=uid'+type+']').val();
   $('span[id^=winner'+type+'_]').attr('class','');
   if(domain != '' || uid != '') {
    var data = '';
    if(domain != '' && uid != '') {
     data = "domain="+domain+"&uid="+uid;
    } else {
     data = domain ? "domain="+domain : "uid="+uid;
    }
    $.ajax({
     'type':'post',
     'url': "http://www.jiathis.com/event/searchwinner/"+type,
     'data':data,
     'success':function(msg) {
      var str = '';
      if(msg == 'no') {
       str = '咦,亲,本次没有找到你的UID哦。看来你需要抽取后面的大奖喽,加油!';
      } else {
       $('#winner'+type+'_'+msg).addClass('winner');
      }
     }
    });
   } else {
    if(type == 3) {
     $('#div-show'+type).html('请输入邮箱或者UID').show();
    }
   }
  }

随即直验证该post请求,果然发现一sql注入漏洞。

虽然页面屏蔽按钮但请求接口依然存在。

以后就是用sqlmap验证并挖掘信息,详见以下:

1.sqlmap对注入点验证:

某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏

2.按业务划分数据库表:

某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏

3.每个表中均有管理员及用户信息:

某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏

4.jiathis客户信息数量

某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏

5.部分客户信息

某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏

6.管理员权限设置json串中可见网站结构信息,据此可推测网站后台路径

某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏

7.管理员表中密码存在弱口令,可据此登录网站后台,后台页面:

某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏

某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏

可登录多个系统后台。

由于后台不稳定,担心影响公司正常业务,未尝试上传webshell,若webshell上传成功有快速拖库风险。

漏洞证明:

某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏

修复方案:

1.过期页面处理请及时且彻底。

2.管理员修改弱口令(杜绝纯数字、8位以下密码)。

3.多业务不公用数据库,数据库权限分配合理。

另:网站服务器https端口打开,如果不是正常业务请关闭。

版权声明:转载请注明来源 Walnut King@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-09-17 13:45

厂商回复:

漏洞的页面存在于早前已下线的活动页面,比较隐蔽,现已修复,感谢白帽子。

最新状态:

2014-09-17:需要说明一下,用户密码等隐私数据,我们全部进行了加盐(salt)处理,这方面是安全的。对个别的弱口令网站管理员帐号,我们进行了相应的处理。

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-08-26 17:18 | 浩天 某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈!躁起来!)

    0

    自身流量就非常高,好厉害

  2. 2014-08-26 18:35 | 疯狗 某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    0

    这个值得关注下,社会化分享,又是个第三方坑

  3. 2014-09-17 14:23 | 浩天 某社会化分享按钮及分享代码提供商官网SQL注入导致公司内部信息及大量客户信息泄漏 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈!躁起来!)

    0

    加盐(salt)也是有规则的,有些也是可以解密的,应该与小米、电玩巴士的加密方式如出一辙

  4. 2014-09-17 15:38 | 北京加网时代科技有限公司(乌云厂商)

    0

    @浩天 每个用户有自己独立的salt,然后再单向哈希加密。

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin