时代互联TodayMail系统xss盲打及sql注入(官方demo复现)

漏洞概要

缺陷编号:WooYun-2015-0125468

漏洞标题:时代互联TodayMail系统xss盲打及sql注入(官方demo复现)

相关厂商:广东时代互联科技有限公司

漏洞作者:黑暗游侠

提交时间:2015-07-09 10:05

公开时间:2015-10-12 10:07

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2015-07-09: 细节已通知厂商并且等待厂商处理中
2015-07-14: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-09-07: 细节向核心白帽子及相关领域专家公开
2015-09-17: 细节向普通白帽子公开
2015-09-27: 细节向实习白帽子公开
2015-10-12: 细节向公众公开

简要描述:

时代互联TodayMail系统xss盲打及sql注入(官方demo复现)注入需要登陆

详细说明:

时代互联旗下的邮件系统存在通用注入, 时代互联官网:**.**.**.** 涉及大量网站,包括政府站点,使用量绝对是海量级别的:

这次发的是组合拳进行SQL注入经过反复测试,只有该唯一办法组合可以进行SQL注入注入产生在对query处的关键字查询过滤不严,但是该功能只对登陆后开放访问权限登陆验证phpsessid,无法伪造登陆用的邮箱和密码均为管理员自己设置的账号和密码而密码强度呢?是几乎不可能破解的我拿了的一个邮箱管理员的账号,可以来看一下设置:

密码强度很大,fuzzing是几乎很难做到的,虽然登陆验证码的设置不强再来看到另一处常规突破口,忘记密码

如图,很遗憾,功能封锁。已经没有其他办法绕过登陆了,那么只剩下----------是的,没错 :

拿到了用户的cookie,甚至只需要phpsessid即可,就可以登陆该邮箱,然后利用SQL缺陷进行注入攻击经过测试,该邮件系统标题和内容正文处均存在store xss漏洞测试用poc:

和标题一样,官方demo复现!==========================================================================

登陆处302到某台cdn

那就在这里做测试吧邮箱收集的过程就不再多说,官网、html标记都可以找到下面写一封邮件标题或正文插入:

没过多久就有了结果来看:

成功获取到了cookie,也就拿到了phpsessid怎么用呢?#组合拳,SQL注入(注:登陆后多处未过滤存在注入)将盲打到的用户cookie放入以下data包中:

保存为1.txt (123*为未过滤注入处)接着使用sqlmap:

直接获得注入结果:

全部数据库:

漏洞证明:

修复方案:

安全是一个整体

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-1210:07

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

评价

  1. 2010-01-01 00:00 DloveJ 白帽子 | Rank:731 漏洞数:64)

    俩个$是多少??

  2. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    那么给力马上就¥

  3. 2010-01-01 00:00 贫道来自河北 白帽子 | Rank:95 漏洞数:12)

    这厂商是不是给乌云投资啦,发钱速度杠杠的

  4. 2010-01-01 00:00 紫霞仙子 白帽子 | Rank:885 漏洞数:70)

    别说是domain那个参数,

  5. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    @wefgod 为什么我还没核心

  6. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    @紫霞仙子 咋可能

  7. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    @黑暗游侠 好像算平均rank的,我记得好像要高于5?还是6来着

  8. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    @wefgod 你看我上面几个,全都是核心,平均没我高

  9. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    @黑暗游侠 [email protected] [email protected] 确实我看到有某人评价rank没有你高,可能是一段时间筛选一次

  10. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    @黑暗游侠 擦,这个漏洞是你路人甲的?

  11. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    @wefgod 额,没事,普通就普通吧没事

  12. 2010-01-01 00:00 xfkxfk 白帽子 | Rank:1829 漏洞数:172)

    帅哥,你拿到shell了吧

  13. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    @xfkxfk 没有哈,可以拿shell,但是目录不解析没办法,突破不了

  14. 2010-01-01 00:00 大漠長河 白帽子 Rank:23 漏洞数:3)

    漏洞Rank:15WooYun评价)
    其实我不愿意可能到乌云评价则几个字。仔细看看,值得一看