记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

学而思某分站一个未修复SQL注入漏洞引发的敏感信息泄漏(微信公众号可被控制)

2014-12-09 22:45

WooYun: 学而思某业务SQL注入漏洞

这是一个人才招聘系统的SQL注入漏洞,一般认为这样的注入得到的都是对测试者没有太大价值的信息(求职信息、求职者的账号),无法造成更严重的影响,所以厂商确认后也没有进行修复。

但实际上,除去将系统配置记入文件的情况,许多网站也会将配置保存在数据库中,这时SQL注入漏洞可能会导致更多的敏感信息泄漏。

以这个注入漏洞为例,数据库job.xueersi.org包含如下表:

……

| system_config |

| system_contract |

| system_custom |

| system_custom_title |

| system_custom_title_option |

| system_identitycheck |

| system_identitycheck_log |

| system_interview |

| system_job_level |

| system_job_type |

| system_mail |

| system_set |

| system_sms |

| system_sms_log |

| system_sms_payment_log |

| system_tool |

| system_user_from |

| system_user_type |

……

简单验证发现,system_config、system_mail、system_set、system_sms存储的系统配置包含敏感信息。

system_mail:

code 区域
job_id,system_mail_id,system_user_from_id,system_mail_port,system_mail_desc,system_mail_isssl,system_mail_isspa,system_mail_istls,system_mail_status,system_mail_account,system_mail_password,system_mail_pop_addr

0,19,0,110,<blank>,0,0,0,0,123@xueersi.com,***马赛克***,POPCOM.263XMAIL.COM

0,20,0,110,<blank>,0,0,1,1,zhaopinzu@100tal.com,t***马赛克***3,POP.100TAL.COM

85,21,14,110,<blank>,0,1,0,1,zkzhaopin@xueersi.com,zhi***马赛克***011,POPCOM.263XMAIL.COM

84,22,14,110,<blank>,0,1,0,1,zhaopin1@xueersi.com,z***马赛克***3,POPCOM.263XMAIL.COM

0,23,0,110,<blank>,0,0,1,1,campus@100tal.com,t***马赛克***3,POP.100TAL.COM

0,24,0,110,<blank>,0,0,1,1,jiaoshizhaopin@100tal.com,t***马赛克***3,pop.100tal.com





system_set:

code 区域
310,发送邮件是否同时发送短信,发送邮件是否同时发送短信,<blank>,<blank>,0

320,系统外发邮箱设置,系统外发邮箱设置,<blank>,"a:3:{s:11:""mail_sender"";s:15:""好未来教育"";s:6:""isSmtp"";s:1:""1"";s:4:""smtp"";a:7:{s:12:""mail_account"";s:14:""job@100tal.com"";s:13:""mail_password"";s:13:""hwl***马赛克***@#$"";s:14:""mail_smtp_addr"";s:15:""smtp.100tal.com"";s:9:""mail_port"";s:2:""25"";s:10:""mail_isssl"";s:1:""0"";s:10:""mail_istls"";s:1:""0"";s:10:""mail_isspa"";s:1:""1"";}}",1

330,系统内部员工验证,系统内部员工验证,<blank>,"a:3:{s:3:""set"";i:2;s:3:""pwd"";s:6:""***马赛克***"";s:4:""code"";s:30:""ewn***马赛克***4sh"";}",1

340,试卷成绩有效期,试卷成绩有效期,<blank>,0,0





system_sms:

code 区域
system_sms_id,system_sms_url,system_sms_max,system_sms_left,system_sms_type,system_sms_init,system_sms_name,system_sms_total,system_sms_status,system_sms_return,system_sms_verify,system_sms_sub_num,system_sms_charset,system_sms_account,system_sms_service,system_sms_password

1,http://sdkhttp.eucp.b2m.cn/sdk/SDKService?wsdl,0,3687,<blank>,0,yi_mei_ruan_tong,18,1,"a:8:{i:0;s:18:""短信发送成功"";i:17;s:18:""发送信息失败"";i:18;s:24:""发送定时信息失败"";i:303;s:21:""客户端网络故障"";i:305;s:45:""服务器端返回错误,错误的返回值"";i:307;s:71:""目标电话号码不符合规则,电话号码必须是以0、1开头"";i:997;s:72:""平台返回找不到超时的短信,该信息是否成功无法确定"";i:998;s:93:""由于客户端网络问题导致信息发送超时,该信息是否成功下发无法确定"";}",<blank>,70,utf-8,3SDK***马赛克***MKSLK,<blank>,6***马赛克***3





总结一下,数据库中存储了内部招聘密码、短信发送接口账户配置。

内部招聘1.jpg



内部招聘2.jpg



除此以外,以上表通过smtp配置形式共泄漏了6个内部邮箱账号,均可成功登录,包含大量邮件。

code 区域
zhaopinzu@100tal.com

zkzhaopin@xueersi.com

zhaopin1@xueersi.com

campus@100tal.com

jiaoshizhaopin@100tal.com

job@100tal.com



zhaopinzu@100tal.jpg



job@100tal.jpg



邮件.jpg



邮箱中包含整个集团通讯录。并且,其中一个邮箱还可用于登录集团的微信公众号。

企业通讯录.jpg



微信公众平台.jpg



再进一步利用(分析Log表中的行为信息、邮箱撞库攻击、利用招聘邮箱发送虚假信息),还可能带来更大的风险。未深入。

漏洞证明:

企业通讯录.jpg



微信公众平台.jpg

修复方案:

#1、过滤参数(虽然这个可能不是你们做的系统,但修复起来也就十几行代码的事吧)

#2、修改泄漏的密码(主要是6个内部邮箱、1个微信公众号)

知识来源: www.wooyun.org/bugs/wooyun-2014-080773

阅读:183459 | 评论:0 | 标签:注入 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“学而思某分站一个未修复SQL注入漏洞引发的敏感信息泄漏(微信公众号可被控制)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云