当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158158

漏洞标题:新为某通用系统注入漏洞大最用户信息泄露(无需登陆)

相关厂商:新为软件

漏洞作者: 路人甲

提交时间:2015-12-04 10:30

修复时间:2016-01-18 10:38

公开时间:2016-01-18 10:38

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-04: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

新为某通用系统注入漏洞大最用户信息泄露(无需登陆)

详细说明:

该系统是新为软件的smartbos管理系统,新为软件是目前中国最大的学习管理软件提供商之一。该系统的使用量非常之大,先来看看官方给的使用情况吧
企业:http://www.newv.com.cn/case_enterprise.html
教育:http://www.newv.com.cn/case_college.html
政府:http://www.newv.com.cn/case_government.html
部分案例截个图

案例.JPG


下面说说该漏洞吧,首先是多个注入漏洞:
/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
这里的ContentUid存在注入
简单在网上找了几个案例来测试:

http://elearning.dahuatech.com:8080/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://live.lifan.net//site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://60.190.166.50:89/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://www.dlzhifeng.com:8080/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://218.61.202.30:8080//site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://60.191.246.18:8888/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://dskc.nenu.edu.cn//site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://exam.ecustmde.com/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://volvo.infolearning.so/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://elearning.900950.com//site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://exam.qdgw.edu.cn/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://exp.chinaopenschool.com/kl/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://rlk.chinaopenschool.com/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://61.186.173.202:8088/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://222.195.242.203/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://wk185.wangkao.sczsxx.org/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://www.chinaopenschool.com/gsedu_admin/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://chrysler.infolearning.so/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://180.166.112.32/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://211.155.225.155/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://211.147.233.3/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://cpe.hongjingedu.com//site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://edu-f.gcl-power.com/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://elearning.dahuatech.com:8080/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://live.lifan.net/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://60.190.166.50:89/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://60.191.246.18:8888/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://www.dlzhifeng.com:8080/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://elearning.900950.com/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://218.61.202.30:8080/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://dskc.nenu.edu.cn/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
http://219.144.128.183:9999/cloud/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123


这里我们就随便选一个来做个验证,我们选“华东理工大学”来做测试
http://exam.ecustmde.com/site/ajax/WebSiteAjax.aspx?type=hits&ContentUid=123
注入参数contentUid
先来张注入点的图

单引号引发错误.JPG


注入点.JPG


从上面的图中我们可以看到,back-end DBMS: Microsoft SQL Server 2008,而我们知道,这个版本的xp_cmdshell默认是关闭的,我们若要使用它,就必须先把它打开。
而打开xp_cmdshell又对我们获得的权限提出了要求,我们看看这个注入点的权限

权限1.JPG


权限2.JPG


看到这里,我就乐了,有了sa,后面的操作就会更加顺利了吧
首先启用xp_cmdshell
然后顺利得到os-shell

获系统权限副本.jpg


到这里,我们可以做的事情就多了,点到为止吧
数据库

库.JPG


这么多表,信息量应该不小吧

tables.JPG


最后在表nv_user里看看管理员信息吧

管理员.JPG


试着解密一下看看

Username:yaojund
Password:mde123


登录

登录副本.jpg


有接近9W多的数据,这些用户的信息信息都可以在数据库中得到,当然包括他们的密码
点到为止了

漏洞证明:

见 详细说明

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)