当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104598

漏洞标题:某省下辖所有市 公共资源交易中心平台存在漏洞 通用漏洞,已GETSHELL

相关厂商:cncert国家互联网应急

漏洞作者: 北风之神

提交时间:2015-03-31 14:08

修复时间:2015-05-18 18:28

公开时间:2015-05-18 18:28

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-31: 细节已通知厂商并且等待厂商处理中
2015-04-03: 厂商已经确认,细节仅向厂商公开
2015-04-13: 细节向核心白帽子及相关领域专家公开
2015-04-23: 细节向普通白帽子公开
2015-05-03: 细节向实习白帽子公开
2015-05-18: 细节向公众公开

简要描述:

某省及下面地市的公共资源交易平台网页全部由一个公司所做,其中有个市的存在SQL漏洞(其他市的网站是否有SQL漏洞还没有检测,只确定了这一处),且是SA用户,通过挖掘数据库信息,发现该公司在每一个市的公共资源交易平台上都留有统一登录后门,用该后门可以登录全省所有地市的公共资源交易管理后台,而且网站后台存在不经任何限制的上传漏洞,导致全省所有地市的交易平台可GETSHELL。
经查看,公共资源交易中心是负责公共资源交易和提供咨询、服务的机构,是公共资源统一进场交易的服务平台。内容包括工程建设招投标、土地和矿业权交易、企业国有产权交易、政府采购、公立医院药品和医疗用品采购、司法机关罚没物品拍卖、国有的文艺品拍卖等所有公共资源交易项目全部纳入中心集中交易。

该漏洞严重威胁该省公共资源交易活动。

详细说明:

本人在2014年11月18日提交过一个漏洞,http://www.wooyun.org/bugs/wooyun-2014-082496/trace/01de32cfa3cddd554ea59c4926d1e601。但是当时没有深入研究,导致WOOYUN主动忽略了该漏洞,前段时间一时无聊,又重新深入研究了一下该漏洞,发现了更多问题,认为还是比较严重的。
宁夏回族自治区下辖地区有 银川市、中卫市、固原市、吴忠市、石嘴山市,共5个市,这5个市的公共资源交易中心网站全是由 “银川神州好易电子科技有限公司”所研发的,其中 中卫市公共资源交易中心网站存在SQL漏洞,(其他地区网站还没有检测是否存在SQL漏洞),且为SA用户,注入后取得了该网站后台的的用户名和用户口令的HASH值,加密方式为MD5,但是口令较为简单,强度不大,全部口令可破译,共包含9个用户,管理员口令破译后进入了网站管理后台,发现有一个用户名为 haoyi ,且密码破译后为admin,因为该网站是银川神州好易电子科技有限公司做的,因此怀疑是不是其他该公司做的网站后台也有该用户,因些检测了宁夏的其他4个市的公共资源交易网站,结果全都可以用用户名haoyi,密码admin登录后台,且网站后台里存在文件的上传口,经验证,上传时没有对文件名和文件本身做任务检验,导到在后台可以直接GETSHELL.

漏洞证明:

下面5张图是银川,中卫,石嘴山,固原,吴忠市公共资源交易中心官网的图片:
http://www.ycsggzy.cn/

银川官网.PNG


http://www.zwsggzy.cn/

中卫官网.PNG


http://www.wzzw.gov.cn/

吴忠官网.PNG


http://www.szsggzy.cn/

石嘴山官网.PNG


http://www.gysggzyjy.cn/

固原官网.PNG


下面5张图是用用户名haoyi,密码admin登录进入后台的图片:
http://www.ycsggzy.cn/Mglpadir/login.aspx

银川.PNG


http://www.wzzw.gov.cn/Mglpadir/login.aspx

吴忠.PNG


http://www.gysggzyjy.cn/Mglpadir/login.aspx

固原.PNG


http://www.szsggzy.cn/Mglpadir/login.aspx

石嘴山.PNG


http://www.zwsggzy.cn/Mglpadir/login.aspx

中卫管理后台.PNG


下面5张图是这5个网站上传WEBSHELL的上传口,没有任务限制:

银川上传.PNG


中卫上传界面.PNG


固原上传.PNG


石嘴山上传.PNG


吴忠上传.PNG


下图是中卫官网GETSHELL的图片:

中卫官网菜刀.PNG


由于这5个官网源码结构相同,鉴于不想做重复工作,只取了中卫公共资源交易中心网站的WEBSHELL,以做证明,其他的不想再做。
涉及全省公共资源交易安全,希望不要再像上次一样被忽略了。

修复方案:

SQL注入修复,后台做上传限制。

版权声明:转载请注明来源 北风之神@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-04-03 18:27

厂商回复:

CNVD确认并复现所述情况,已联系相关厂商处置。

最新状态:

暂无