当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0151039

漏洞标题:人教商城SQL注入漏洞并绕过防火墙远控

相关厂商:人教商城

漏洞作者: 修罗

提交时间:2015-11-01 14:07

修复时间:2015-12-20 14:38

公开时间:2015-12-20 14:38

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-01: 细节已通知厂商并且等待厂商处理中
2015-11-05: 厂商已经确认,细节仅向厂商公开
2015-11-15: 细节向核心白帽子及相关领域专家公开
2015-11-25: 细节向普通白帽子公开
2015-12-05: 细节向实习白帽子公开
2015-12-20: 细节向公众公开

简要描述:

漏洞危害非常大,可完全控制其主机

详细说明:

1、手动测试发现一处注入点:
http://**.**.**.**/showproduct.aspx?ProductID=6525&CategoryFilterID=352
2、随后使用sqlmap测试,发现其使用的SQLServer数据库,且用的sa账户(你懂的),先爆库获得后台管理员账户和密码,如下:
用户名:ShopAdmin
密码:Mb0O771xtNz/2XDlUqB0OuGeAY7hmttF (用了某种加密算法,先放着)
3、利用SQL漏洞执行远程指令,找到网站根目录:e:\webroot\EasyStore20121130_CU
4、用echo写一句话到网站目录下,上菜刀;
5、尝试3389远程连接失败,应该是有防火墙,通过菜刀上传反弹连接后门,成功远控;
6、整站打包下载,由于网站使用.NET开发,上Reflector逆向登录处的代码文件,如下:

逆向.jpg


7、在web.config文件中找到加密密钥,写个程序直接调用其加密类,解密出管理员密码明文为:Willson0316,如下:

配置文件.jpg


解密.jpg


8、结束。

漏洞证明:

sqlmap爆表.jpg


下面是做了端口转发,不然无法直接连接:

远程桌面.jpg


商城后台.jpg

修复方案:

1、修复SQL注入漏洞,改用参数化查询或存储过程;
2、定期修改后台密码;
3、更换WEB应用使用的数据库账号,新建一个专用数据库账号,不要直接使用sa;
4、密码加密后再做一次MD5加密可防止破解;

版权声明:转载请注明来源 修罗@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-11-05 14:37

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。

最新状态:

暂无