新为某通用系统注入漏洞大最用户信息泄露（无需登陆）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0152706

漏洞标题：新为某通用系统注入漏洞大最用户信息泄露（无需登陆）

漏洞作者：路人甲

提交时间：2015-11-09 15:42

修复时间：2015-12-24 15:42

公开时间：2015-12-24 15:42

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-09：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-12-24：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

新为某通用系统注入漏洞，大最用户信息泄露（无需登陆）

详细说明：

该系统是新为软件的smartbos管理系统，新为软件是目前中国最大的学习管理软件提供商之一。该系统的使用量非常之大，先来看看官方给的使用情况吧
企业：http://**.**.**.**/case_enterprise.html
教育：http://**.**.**.**/case_college.html
政府：http://**.**.**.**/case_government.html
部分案例截个图

下面说说该漏洞吧，首先是多个注入漏洞：
/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
这里的productUid存在注入，注意，这里的参数type一定要为：webcomment！！！
简单在网上找了几个案例来测试：

http://**.**.**.**:8080/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
**.**.**.**:89/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**:8080/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
**.**.**.**:8080/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
**.**.**.**:8888/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**//site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**//site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://volvo.infolearning.so/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**//site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**//site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**/kl/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
**.**.**.**:8088//site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
**.**.**.**//site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**/gsedu_admin/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://chrysler.infolearning.so//site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
**.**.**.**//site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
**.**.**.**/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
**.**.**.**/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**:8080/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
**.**.**.**:89/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
**.**.**.**:8888/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**:8080/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
**.**.**.**:8080/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
http://**.**.**.**/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
**.**.**.**:9999/cloud/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123

这里我们就随便选一个来做个验证，我们选“华东理工大学”来做测试
http://**.**.**.**/site/ajax/CommentAjax.aspx?type=webcomment&isFirstOpen=Y&contentUid=123
注入参数contentUid
先来张注入点的图

从上面的图中我们可以看到，back-end DBMS: Microsoft SQL Server 2008，而我们知道，这个版本的xp_cmdshell默认是关闭的，我们若要使用它，就必须先把它打开。
而打开xp_cmdshell又对我们获得的权限提出了要求，我们看看这个注入点的权限

看到这里，我就乐了，有了sa，后面的操作就会更加顺利了吧
首先启用xp_cmdshell
然后顺利得到os-shell

到这里，我们可以做的事情就多了，点到为止吧
数据库

这么多表，信息量应该不小吧

最后在表nv_user里看看管理员信息吧

试着解密一下看看
Username：yaojund
Password：mde123
登录

有接近9W多的数据，这些用户的信息信息都可以在数据库中得到，当然包括他们的密码
点到为止了

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0152706

漏洞标题：新为某通用系统注入漏洞大最用户信息泄露（无需登陆）

相关厂商：新为软件

漏洞作者：路人甲

提交时间：2015-11-09 15:42

修复时间：2015-12-24 15:42

公开时间：2015-12-24 15:42

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0152706

漏洞标题：新为某通用系统注入漏洞大最用户信息泄露（无需登陆）

相关厂商：新为软件

漏洞作者： 路人甲

提交时间：2015-11-09 15:42

修复时间：2015-12-24 15:42

公开时间：2015-12-24 15:42

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0152706"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云