漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-098895
漏洞标题:浙江省教育考试院另一处SQL注射以及一处权限设置不当
相关厂商:浙江教育考试院
漏洞作者: SHENXN
提交时间:2015-03-04 11:06
修复时间:2015-04-18 11:08
公开时间:2015-04-18 11:08
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-03-04: 细节已通知厂商并且等待厂商处理中
2015-03-09: 厂商已经确认,细节仅向厂商公开
2015-03-19: 细节向核心白帽子及相关领域专家公开
2015-03-29: 细节向普通白帽子公开
2015-04-08: 细节向实习白帽子公开
2015-04-18: 细节向公众公开
简要描述:
浙江教育考试院另一系统同样存在SQL注射漏洞(教育考试院你在搞笑吧),可获取所有考生身份信息(比刚才那个还要夸张,这次信息更多了),可修改任意考生个人资料,同时一处权限设置不当导致可以查看所有人照片。
详细说明:
注入点:http://pgzy.zjzs.net:8011/ashx/ajaxHandler.ashx
数据库:ORACLE
详细个人信息,我也是很醉啊。如果使用考生账号登录系统的话还可以修改个人信息。
每个人的个人照片权限设置不当,只需要身份证号码就可以查看任意用户照片:
举例,身份证号:330105199809220011
那么照片就是:http://pgzy.zjzs.net:8011/xnml/pic/savepic/33/01/05/1998/09/330105199809220011.jpg
详细格式:http://pgzy.zjzs.net:8011/xnml/pic/savepic/{身份证1-2位}/{身份证3-4位}/{身份证5-6位}/{身份证7-10位]/{身份证11-12位}/{完整身份证号}.jpg
漏洞证明:
建议公开时删除相关身份证号!!!
照片问题不需要更详细说明,SQL注射详细步骤:
首先注入点:http://pgzy.zjzs.net:8011/ashx/ajaxHandler.ashx
这是一个AJAX的接口,我后来发现不需要登录也可以进行注入。
登录操作对用户名进行了注入过滤(密码应该是MD5之后直接对比的,不涉及数据库操作),但是很不幸只过滤了空格,所以只要使用/**/替代空格即可实现注入。同时,错误显示没有关掉,于是可以直接从报错信息获得到子查询结果
我从登录系统后的注入点报错信息可以知道,个人信息储存在一张叫做USERINFO的表中。部分字段:
很明显已经可以直接拖库了,而且验证码还多次可用,直接可以得到所有人的个人信息,结合上面的权限设置不当,还可以把照片也一起拖下来。
举个例子:
这样就可以获取到前5个人的证件号码,使用自动化攻击脚本就可以直接拖库了。
然后经过验证,所储存的密码的确是直接一次MD5,我们都知道MD5是可以反向的,这么多密码总有能查到反向的,于是我们来试试看。
建议公开时删除身份证号!!!
我们查到身份证号码为33250119971101041X的用户MD5解码成功
登录系统成功
然后我们现在可以使用信息修改所用的AJAX对任意用户的个人信息进行修改,同时我们还可以通过修改USERPASS字段实现登录任意用户(未尝试,理论可行)。
个人信息修改所用参数如下:
通过注入后的报错信息我们知道其SQL语句修改的第一项为姓名字段,为了防止一不小心影响其他字段,我选择在姓名字段进行SQL注入。比如我修改该用户的出生日期(这在正常交互中是一个不可修改的字段),理论上可以修改其他用户,但是为了查看结果我们选择该用户进行操作(放心我会改回去的)
这样出生日期就被改为wooyun了
同理修改他人密码即可登录任意账户。
修复方案:
建议更换开发商
如果自行开发建议聘请专业人员负责网站安全
请至少在系统上线之前找安全公司进行渗透性测试
使用绑定方法操作数据库或者过滤
请不要将明文信息放在数据库中,好歹做个加密
请关闭你们的错误显示,把这么多错误细节公开真的好吗
对权限做好控制,照片应该只有所有者能够查看
还有再次吐槽,请让验证码一次失效
版权声明:转载请注明来源 SHENXN@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-03-09 09:39
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT下发给分中心,由其后续协调网站管理单位处置。
最新状态:
暂无