当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0114108

漏洞标题:吉林市公安局交通管理支队网站(SQL注入、上传)

相关厂商:公安部一所

漏洞作者: 路人甲

提交时间:2015-05-14 16:17

修复时间:2015-06-29 16:10

公开时间:2015-06-29 16:10

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(公安部一所)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-14: 细节已通知厂商并且等待厂商处理中
2015-05-15: 厂商已经确认,细节仅向厂商公开
2015-05-25: 细节向核心白帽子及相关领域专家公开
2015-06-04: 细节向普通白帽子公开
2015-06-14: 细节向实习白帽子公开
2015-06-29: 细节向公众公开

简要描述:

12年有人提交过,不过那个时候是php开发的,现在的是C#,所以不存在已经被报告。
http://www.wooyun.org/bugs/wooyun-2010-010577

详细说明:

在对吉林市公安局交通管理支队网站进行SQL注入检测时发现两处SQL注入
第一处:

http://www.jlsjj.gov.cn/page/zdxx.aspx


捕获.PNG


参数ctl00$content$cxdh
第二处:

http://www.jlsjj.gov.cn/page/ShowData.aspx?id=0&mc=%e6%94%af%e9%98%9f%e7%ae%80%e4%bb%8b&tableName=endna196ZGpq


参数tableName
需要对该参数进行base64编码再进行注入

漏洞证明:

注入结果

n图.png


登陆进入后台

http://www.jlsjj.gov.cn/login.aspx


捕获.PNG


上传,编辑或者发布图片新闻,利用FCK编辑器漏洞即可成功上传webshell
地址

http://www.jlsjj.gov.cn//UploadFile/ASPXspy2.aspx

密码

admin


捕获.PNG


通过逆向分析

if (str3 != null)
        {
            if (!(str3 == "jgcx_jdcyq"))
            {
                if (str3 == "jgcx_jdcbf")
                {
                    view = DataAccess.CreateView((("select * from " + str + " where 1=1 ") + " and hphm=" + Fun.SQLField("吉" + this.hphm.Text)) + " order by id");
                    if (view.Count == 0)
                    {
                        return;
                    }
                    strArray = new string[] { "gzlx", "syr", "hpzl", "hphm", "clxh", "bfqz" };
                    builder.Append("<td bgcolor='#f0f0f0' align='middle' nowrap width='80px'><font size='2'><strong>告知类型</strong></font></td>");
                    builder.Append("<td bgcolor='#f0f0f0' align='middle' nowrap><font size='2'><strong>所有人</strong></font></td>");
                    builder.Append("<td bgcolor='#f0f0f0' height='35' width='80px' align='middle' nowrap><font size='2'><strong>号牌种类</strong></font></td>");
                    builder.Append("<td bgcolor='#f0f0f0' width='80px' align='middle' nowrap><font size='2'><strong>车牌号码</strong></font></td>");
                    builder.Append("<td bgcolor='#f0f0f0' width='80px' align='middle' nowrap width='80px'><font size='2'><strong>车辆型号</strong></font></td>");
                    builder.Append("<td bgcolor='#f0f0f0' align='middle' nowrap width='80px'><font size='2'><strong>强制报废期止</strong></font></td>");
                }
            }
            else
            {
                view = DataAccess.CreateView((("select * from " + str + " where hpzl=" + Fun.SQLField(this.CarType.SelectedItem.Text)) + " and hphm=" + Fun.SQLField("吉" + this.hphm.Text)) + " order by id");
                if (view.Count == 0)
                {
                    return;
                }
                builder.Append("<td bgcolor='#f0f0f0' align='middle' nowrap><font size='2'><strong>所有人</strong></font></td>");
                builder.Append("<td bgcolor='#f0f0f0' height='35' width='80px' align='middle' nowrap><font size='2'><strong>号牌种类</strong></font></td>");
                builder.Append("<td bgcolor='#f0f0f0' width='80px' align='middle' nowrap><font size='2'><strong>车牌号码</strong></font></td>");
                builder.Append("<td bgcolor='#f0f0f0' width='80px' align='middle' nowrap><font size='2'><strong>告知名称</strong></font></td>");
                builder.Append("<td bgcolor='#f0f0f0' align='middle' nowrap><font size='2'><strong>告知内容</strong></font></td>");
            }
        }


驾驶员和违章信息储存在表

jgcx_jdcyq和jgcx_jdcbf


但是经过对其进行数量查询时为0

捕获.PNG


可能是还没有将数据进行导入,根据文件修改时间可以猜测,最近在对代码进行升级维护。
如果不及时修复以上漏洞,待将来数据导入后极其容易被恶意攻击者窃取,望及时修复。

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-05-15 16:08

厂商回复:

感谢提交!!
验证确认所描述的问题,已通知其修复。

最新状态:

暂无