漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-073132
漏洞标题:某政务大厅系统2处SQL注射漏洞
相关厂商:cncert国家互联网应急中心
漏洞作者: 路人甲
提交时间:2014-08-21 18:43
修复时间:2014-11-19 18:44
公开时间:2014-11-19 18:44
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-08-21: 细节已通知厂商并且等待厂商处理中
2014-08-26: 厂商已经确认,细节仅向厂商公开
2014-08-29: 细节向第三方安全合作伙伴开放
2014-10-20: 细节向核心白帽子及相关领域专家公开
2014-10-30: 细节向普通白帽子公开
2014-11-09: 细节向实习白帽子公开
2014-11-19: 细节向公众公开
简要描述:
某政务大厅系统2处SQL注射漏洞
详细说明:
存在漏洞的是江苏南大先腾信息产业有限公司开发的阳光政务系统
官方网站:http://www.centit.com/
由于没有演示站,所以对安装该系统的政务大厅进行黑盒测试
测试网站:
http://www.ldzsc.gov.cn/ 连云港经济技术开发区行政大厅
http://218.92.49.74:8090/ganyunet/ 赣榆县政务大厅
http://218.92.50.139:8082/lygdhnet/ 东海县政务大厅
http://218.92.62.78/gnnet/ 灌南县政务大厅
http://218.92.14.22/gynet/ 灌云县政务大厅
http://61.132.0.36:8090/lygnet/ 连云港市政务大厅
漏洞证明:
http://www.ldzsc.gov.cn/info/PowerType.do?method=list&service_Type=1
1.由于/info/PowerType.do页面参数service_Type未安全过滤导致SQL注射漏洞
当OR后判断条件为 1=1时
当OR后判断条件为 1=2时
当设置当前数据库用户名长度>=11时,页面显示与判断条件为1=1相同,即判断条件成立
当设置当前数据库用户名长度>=12时,页面显示与判断条件为1=2相同,即判断条件不成立,即当前数据库用户名长度为11
当设置当前数据库用户名第一个字符的ASCII码值>=76时,页面显示与判断条件为1=1相同,即判断条件成立
当设置当前数据库用户名第一个字符的ASCII码值>=77时,页面显示与判断条件为1=2相同,即判断条件不成立,即当前数据库用户名第一个字符的ASCII码值为76,即字符L
2.由于/manage/supPower.do页面参数item_id未安全过滤导致SQL注射漏洞
当OR后判断条件为 1=1时
当OR后判断条件为 1=2时
当设置当前数据库用户名长度>=11时,页面显示与判断条件为1=1相同,即判断条件成立
当设置当前数据库用户名长度>=12时,页面显示与判断条件为1=2相同,即判断条件不成立,即当前数据库用户名长度为11
当设置当前数据库用户名第一个字符的ASCII码值>=76时,页面显示与判断条件为1=1相同,即判断条件成立
当设置当前数据库用户名第一个字符的ASCII码值>=77时,页面显示与判断条件为1=2相同,即判断条件不成立,即当前数据库用户名第一个字符的ASCII码值为76,即字符L
根据此方法依次可得出数据库名各个位对应的ASCII码值76 89 71 75 70 78 69 84 78 69 87 ,即数据库名为LYGKFNETNEW
修复方案:
对参数进行过滤
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:14
确认时间:2014-08-26 10:35
厂商回复:
CNVD确认并复现所述情况,已经由CNCERT下发给江苏分中心处置。暂未能直接跑库。
最新状态:
暂无