当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157556

漏洞标题:新时代证券某管理系统SQL注入(system权限)

相关厂商:xsdzq.cn

漏洞作者: 路人甲

提交时间:2015-12-02 11:32

修复时间:2015-12-07 11:34

公开时间:2015-12-07 11:34

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-02: 细节已通知厂商并且等待厂商处理中
2015-12-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

rt。脱裤,拿服务器,甚至进一步搞内网,都可以了~~~吼吼。

详细说明:

该证券公司的OA系统登录框存在post注入:
主站链接:http://www.xsdzq.cn/

1.png


OA系统URL:http://oa.xsdzq.cn/C6/Jhsoft.Web.login/PassWordSlide.aspx

2.png


存在注入的链接,该OA系统的管理登陆URL:
http://oa.xsdzq.cn/C6/Jhsoft.mobileapp/login/login.html

3.png


此处存在POST注入,开始吧。
登陆过程抓包:

4.png


修改user和pwd参数,如下图:

5.png


扔SQLMAP尝试:

6.png


可以看到相关系统及数据库信息,继续查看当前用户:

7.png


验证是否是dba:

8.png


查看数据库内容:

9.png


因为是MSSQL数据库,故尝试调用xp_cmdshell。成功调用,执行命令“whoami”:

10.png


至此,system权限。脱裤,提权,进一步搞内网。干啥不行?
说个思路吧,用现在这个有system权限的shell,如果有绝对路径的话,可以直接echo写shell,转常规渗透。如果找不到绝对路径,可以执行ftp命令从远程下载个端口抓发的工具。转出3389,用这个shell加个用户。分分钟上桌面,进一步就可以搜集信息搞内网了。吼吼。
不过。本菜就挖挖洞,到此为止了,不深入了,厂商赶紧把洞补了吧。:)

漏洞证明:

送一个修改后的post包吧:

POST /C6/Jhsoft.mobileapp/login/CheckPwd.ashx HTTP/1.1
Host: oa.xsdzq.cn
Content-Length: 89
Accept: */*
Origin: http://oa.xsdzq.cn
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://oa.xsdzq.cn/C6/Jhsoft.mobileapp/login/login.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: ASP.NET_SessionId=3wlkeqr5ikhqkfypshqa4255; ASPSESSIONIDCQTRCBDB=JBELEIBDHNMLCMIMIOKDLNIP; myie=false
<root><User>admin</User><Pwd>admin</Pwd><type>login</type></root>

修复方案:

过滤。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-12-07 11:34

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无