当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010358

漏洞标题:正方教务管理系统数据库任意操作漏洞

相关厂商:杭州正方

漏洞作者: 峙酿君edwardz

提交时间:2012-07-30 12:02

修复时间:2012-08-04 12:03

公开时间:2012-08-04 12:03

漏洞类型:默认配置不当

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-07-30: 细节已通知厂商并且等待厂商处理中
2012-08-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

存在数据库任意操作漏洞,只需知道服务器IP,可执行任意数据库操作。因为全国1000多所高校都在使用该系统,该漏洞可以直接实现成绩修改,学生信息导出。故影响十分严重十分严重。

详细说明:

杭州正方教务管理系统是国内用的比较多一个教务管理系统,据杭州正方官网http://www.zfsoft.com/type_14.html 说正方数字化校园信息平台软件用户名单(共三十个省、市、自治区1000多所高校),因此这个漏洞危害和影响还是相当大的。
正方软件股份有限公司开发的教务管理系统除了.net 开发的B/S供学生查看成绩,选课,老师录入成绩以外,还采用Delphi开发了一个C/S客户端,用于教务员和老师排课改成绩等等软件截图如下。


然而通过分析发现该软件存在许多重大漏洞,用户只要知道了服务端IP,就可以管理整个后台Oracle数据库,导致学生老师的个人隐私信息泄露,以及被篡改成绩的可能。而且经过我们的测试发现许多C/S服务端和B/S服务端在同一个服务器上面,比如218.75.208.58(湖南工业大学),202.116.160.167(华南农业大学),如果两个服务端不在同一个服务器上面,也比较好找,因为C/S服务端使用的端口是211,因此很容易通过端口扫描软件扫描整个C段或临近的网段找到服务器IP。
? 漏洞原理解析
我们通过对客户端软件和服务端通信抓包过程发现,每次打开客户端软件时,客户端软件就跟服务器进行了三次TCP会话就完成了验证过程。经过我们的多次分析发现,不管连接那台服务器,这三次TCP会话都是固定的,截图如下:


三次TCP会话后,客户端就可以向服务端发送任意SQL语句了,然后服务端就会返回查询结果。
SQL语句是这样构造的
02DA0000+接下来数据的总字节数+030000000000000003000000022D310103000000010000000B000000FFFF0300000002000000030000000000000008000000+SQL语句的Unicode编码后的字节数+SQL的Unicode编码+08000000060000004400530050005F0071003100
发送给服务器后,然后通过分析服务器就会返回数据包就可以得到返回的SQL结果。


?

漏洞证明:

为了更好的说明漏洞的危害,我们采用Java开发了漏洞说明软件,并以华南农业大学(202.116.160.167)为例说明漏洞危害。



将华南农业大学服务器IP输入IP地址栏后,点击连接,软件提示连接成功。



管理系统后台数据库里面有个表yhb,里面放着教师和管理的账户信息,包括加密后的密码,不过前段时间乌云报告了加密方式时可逆的,很容易就能解密出来。输入SQL语句后,点击发送SQL语句。将返回查询结果,SQL语句可以是增删改查的其他任何符合Oracle的语句。

在表明里面输入yhb,分隔符输入逗号,然后点击列数据,就可以看到查询数据了,并且可以导出为TXT。
通过上述说明,此漏洞确实很危险,感觉就像在裸奔一样,全国1000多所学校都在使用杭州正方教务管理系统,因此波及范围很广。
最后,欢迎关注微博:
http://weibo.com/evilniang
http://weibo.com/bingobest

修复方案:

通讯加密

版权声明:转载请注明来源 峙酿君edwardz@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-08-04 12:03

厂商回复:

漏洞Rank:20 (WooYun评价)

最新状态:

2012-08-04:关于近期正方教务系统出现的多个漏洞,CNVD目前处于批处理状态,由于处理失当导致本次白帽子提示的信息提前公开,致个歉。从目前处理情况看,已经初步完成事件情况确认。对漏洞事件评分按完全影响机密性评估,rank=7.79*1.3*1.5=15.190

漏洞评价:

评论

  1. 2012-07-30 12:24 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    ...............

  2. 2012-07-30 12:26 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    难道是有默认账号?

  3. 2012-07-30 12:39 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Valo洛洛 目测不是

  4. 2012-07-30 12:47 | m4trix1 ( 路人 | Rank:10 漏洞数:2 | 绝对有jj)

    漏洞类型: 默认配置不当

  5. 2012-07-30 12:58 | 峙酿君edwardz ( 实习白帽子 | Rank:40 漏洞数:1 | http://weibo.com/evilniang)

    @m4trix1 严格的说也不是默认配置不当,不过wooyun的漏洞选项里面我也不知道选什么了

  6. 2012-07-30 13:04 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @峙酿君edwardz 求交流,我还挂着N科 - -

  7. 2012-07-30 13:04 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @xsser 又要等上半个月 :(

  8. 2012-07-30 13:06 | 独孤城 ( 实习白帽子 | Rank:36 漏洞数:3 )

    应该可以说是程序逻辑设计缺陷。

  9. 2012-07-30 13:08 | cnrstar ( 普通白帽子 | Rank:157 漏洞数:23 | Be my personal best!)

    @峙酿君edwardz 只要知道IP就可以???!!不是吧,连数据库还得要密码啊~

  10. 2012-07-30 13:11 | 坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)

    @Valo洛洛 请老老实实的看书,补考,重考或者重修。不要做违法的事情,得不偿失。

  11. 2012-07-30 13:20 | 峙酿君edwardz ( 实习白帽子 | Rank:40 漏洞数:1 | http://weibo.com/evilniang)

    @Valo洛洛 请好好学习,天天上相

  12. 2012-07-30 13:24 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @峙酿君edwardz @坏虾 .......................

  13. 2012-07-30 13:26 | 猥琐 ( 路人 | Rank:6 漏洞数:2 | 学习什么的最重要!)

    挂科重修过很多次的路过T_T

  14. 2012-07-30 13:29 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    @cnrstar 数据库连接的ip也是有限制的啊`

  15. 2012-07-30 13:33 | WooYuner ( 路人 | Rank:0 漏洞数:1 | 没有准备,就是准备失败)

    围观下

  16. 2012-07-30 13:51 | exploits ( 实习白帽子 | Rank:69 漏洞数:17 | As We Do,As You Know !)

    ~~ 淡定

  17. 2012-07-30 13:53 | 波波虎 ( 普通白帽子 | Rank:266 漏洞数:51 | 11111111111)

    不会是爆用户名密码了吧

  18. 2012-07-30 14:12 | 笨猪 ( 实习白帽子 | Rank:56 漏洞数:13 | Jarett|最近忙,洞发得少。。)

    真的假的,难以置信啊

  19. 2012-07-30 14:32 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)

    不会是webservice或是越权操作吧

  20. 2012-07-30 16:23 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @刺刺 目测不是,看他说有IP就行。。。

  21. 2012-07-30 16:25 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @CCOz 耐心的等待吧 =。=

  22. 2012-07-30 18:45 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    @刺刺 正方那个有个bug,iis好像是system运行的~

  23. 2012-07-30 19:05 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @pangshenjie 正方教务系统不是lamp架构么,反正我们学校都用的linux

  24. 2012-07-30 19:17 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    @CCOz 我们的是.net的啊~你看wooyun上那几个洞都是.net的

  25. 2012-07-30 20:59 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @pangshenjie 我把我们学校的上网服务器和正方搞混了。。。是.NET没错。。。

  26. 2012-07-30 22:32 | xiaokinghk ( 实习白帽子 | Rank:82 漏洞数:16 | 【DBA】)

    @峙酿君edwardz 呼呼 好东西。。。。。关注

  27. 2012-07-30 22:33 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    看来好多学校又危险了!!!

  28. 2012-07-30 22:34 | xiaokinghk ( 实习白帽子 | Rank:82 漏洞数:16 | 【DBA】)

    @xsser 表示我的漏洞怎么还有一片在审核 。。。审核不过能否告知天天想着能审核过。。。。

  29. 2012-07-30 23:24 | 峙酿君edwardz ( 实习白帽子 | Rank:40 漏洞数:1 | http://weibo.com/evilniang)

    @xiaokinghk (*^__^*) 嘻嘻……

  30. 2012-07-31 11:36 | PiaCa ( 普通白帽子 | Rank:129 漏洞数:10 | 简单点!啪......嚓~~)

    @xsser 求目测

  31. 2012-07-31 20:06 | 黄色沙漠 ( 路人 | Rank:11 漏洞数:1 )

    @xsser 求目测继续求目测

  32. 2012-07-31 20:32 | her0ma ( 核心白帽子 | Rank:598 漏洞数:84 | 专注小厂商三十年!)

    WooYun: 正方教务系统漏洞导致妹子成绩随便查照片随意看 和这个莫非一样?

  33. 2012-07-31 22:00 | 峙酿君edwardz ( 实习白帽子 | Rank:40 漏洞数:1 | http://weibo.com/evilniang)

    @her0ma 不一样的,亲

  34. 2012-07-31 23:00 | 黄色沙漠 ( 路人 | Rank:11 漏洞数:1 )

    @峙酿君edwardz 膜拜lz,我发的那个只不过一个查成绩!

  35. 2012-08-01 17:04 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    围观

  36. 2012-08-01 17:07 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    楼上都是学生么?

  37. 2012-08-01 17:24 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)

    那青涩的,懵懂的,撸撸无为的学生时代……

  38. 2012-08-01 18:37 | f1eecy ( 路人 | Rank:21 漏洞数:4 | 图书管理员~)

    我是老师,楼上的学生萌小心点

  39. 2012-08-01 18:52 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @xsser 目测都是大学生,一个漏洞把乌云的学生党全揪出来了,不是学生的很难接触到这个东西了……

  40. 2012-08-01 19:37 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    @CCOz 正解。。。哈哈。。。。

  41. 2012-08-02 08:41 | 黄色沙漠 ( 路人 | Rank:11 漏洞数:1 )

    @CCOz 不是学生的飘过,哇哦哦

  42. 2012-08-02 17:44 | 生生不息 ( 路人 | Rank:5 漏洞数:1 | 工控、无线、能量辐射领域。不闲聊不扯淡。)

    还是教务系统有爱。。考虑挖教务系统?

  43. 2012-08-04 12:16 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    X乃,这尼玛就公开了

  44. 2012-08-04 12:55 | 峙酿君edwardz ( 实习白帽子 | Rank:40 漏洞数:1 | http://weibo.com/evilniang)

    @xxser 我去,这个是神马情况,正方啊,真心沧心。这漏洞都能忽略?

  45. 2012-08-04 12:57 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @峙酿君edwardz 周一我和cert沟通下

  46. 2012-08-04 13:54 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    尼玛,这也能忽略~~

  47. 2012-08-04 14:09 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    @se55i0n 官方说是忽略,估计偷偷补了。

  48. 2012-08-04 14:13 | 峙酿君edwardz ( 实习白帽子 | Rank:40 漏洞数:1 | http://weibo.com/evilniang)

    @qiaoy 这个漏洞服务和客户端都要修改。而且分布比较广,修复需要的时间不少。 这样忽略太不负责

  49. 2012-08-04 14:18 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @峙酿君edwardz 目前国内的负责任的企业你觉得很多么?

  50. 2012-08-04 14:19 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @qiaoy 早期基本都这样~~

  51. 2012-08-04 16:43 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    @峙酿君edwardz 简单搜了一下,确实分布很广,而且搞了一台服务器瞅了瞅这软件,貌似对学生十分重要啊,学籍、学分什么的都在上面,丫厂商太不负责人了!

  52. 2012-08-04 17:19 | 峙酿君edwardz ( 实习白帽子 | Rank:40 漏洞数:1 | http://weibo.com/evilniang)

    @qiaoy 是的

  53. 2012-08-04 20:25 | 猪头子 ( 普通白帽子 | Rank:189 漏洞数:35 | 自信的看着队友rm -rf/tar挂服务器)

    擦,改分改分,我高数挂了

  54. 2012-08-06 18:13 | 低调的瘦子 ( 普通白帽子 | Rank:466 漏洞数:68 | loading……………………)

    楼主,,求工具~~870659132@qq.com~~在此谢过~~

  55. 2012-08-06 18:35 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @低调的瘦子 人家原理都说了,三次会话都截图了,足够自己写个exp出来了,难不成你想干坏事?

  56. 2012-08-06 21:37 | 低调的瘦子 ( 普通白帽子 | Rank:466 漏洞数:68 | loading……………………)

    @CCOz 你知道的太多了~~~

  57. 2012-08-06 21:53 | 独孤城 ( 实习白帽子 | Rank:36 漏洞数:3 )

    @CCOz 俺从发现漏洞到搞出EXP用了四天。

  58. 2012-08-07 11:08 | 低调的瘦子 ( 普通白帽子 | Rank:466 漏洞数:68 | loading……………………)

    @独孤城 - -其实我想说我不会写程序。。鄙视我把~~

  59. 2012-08-07 11:30 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    还是得先建立通讯撒,不是学生的路过,不是大学生,没进过大学门

  60. 2012-08-07 12:12 | 独孤城 ( 实习白帽子 | Rank:36 漏洞数:3 )

    @低调的瘦子 回编程序也写不出exp,因为三次会话的截图不完整。

  61. 2012-08-07 14:55 | 低调的瘦子 ( 普通白帽子 | Rank:466 漏洞数:68 | loading……………………)

    @独孤城 @CCOz 你看你看 孤独城说了~~~。,,虽然我确实是有邪恶的想法~~哈哈哈~~是否可以打包一份发我邮箱呢?870659132@qq.com

  62. 2012-08-07 20:05 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @低调的瘦子 这个被发现了真的可以坐牢,劝你别做。有学长在牢里呆着呢。至于不会被发现的侥幸心理,详见http://zone.wooyun.org/content/633

  63. 2012-08-08 17:34 | 黄色沙漠 ( 路人 | Rank:11 漏洞数:1 )

    他思想不单纯坏掉了!呼呼

  64. 2012-09-03 18:40 | Power ( 实习白帽子 | Rank:54 漏洞数:22 | 还需要等待.........)

    以前听说一个同学写了一个软件直接查分我还不信,今天我信了

  65. 2012-09-04 00:21 | Power ( 实习白帽子 | Rank:54 漏洞数:22 | 还需要等待.........)

    @独孤城 写下原理吧,或者能不能分享下工具的源码

  66. 2012-09-05 09:06 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    貌似广东的高校都用的这个啊!!

  67. 2012-09-17 13:07 | Wdot ( 实习白帽子 | Rank:77 漏洞数:12 | it came too later)

    求客户端来分析

  68. 2012-10-03 17:23 | Docee ( 路人 | Rank:10 漏洞数:3 | 屌丝)

    洞主厉害!亲测成功!正在写利用程序!!!

  69. 2012-10-05 11:39 | Docee ( 路人 | Rank:10 漏洞数:3 | 屌丝)

    @独孤城 洞主上面有些地方写错了,【SQL语句的Unicode编码后的字节数】这个应该是编码后的字节数的一半,而且后面发送SQL语句还要...你懂的!

  70. 2012-10-08 14:50 | 独孤城 ( 实习白帽子 | Rank:36 漏洞数:3 )

    @Docee 确实如你所述啊,haha!

  71. 2012-11-14 11:52 | 低调的瘦子 ( 普通白帽子 | Rank:466 漏洞数:68 | loading……………………)

    @Docee 厉害~~你滴利用程序还真写完了~~可共享否?

  72. 2012-11-16 23:20 | Docee ( 路人 | Rank:10 漏洞数:3 | 屌丝)

    @低调的瘦子 这个会坐牢的,不敢乱传。貌似漏洞到现在都还没修复..改成绩,逆向算教务处密码,完全木有问题。

  73. 2012-11-17 13:47 | 低调的瘦子 ( 普通白帽子 | Rank:466 漏洞数:68 | loading……………………)

    @Docee 那下照片的程序也不能共享?

  74. 2012-11-17 14:49 | Docee ( 路人 | Rank:10 漏洞数:3 | 屌丝)

    @低调的瘦子 下照片并没有写成软件,只是代码调试中运行而已。。。对你用处不大的。。。就几行代码。

  75. 2012-11-17 17:14 | 低调的瘦子 ( 普通白帽子 | Rank:466 漏洞数:68 | loading……………………)

    @Docee %>_<%好吧。、。、

  76. 2012-11-28 21:27 | 西瓜 ( 路人 | Rank:6 漏洞数:1 | 喜爱渗透,硬件!!、、、、、、)

    @Docee 逆向密码何解?

  77. 2012-11-29 09:53 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    @西瓜 zjdx.dll

  78. 2012-11-29 19:01 | 西瓜 ( 路人 | Rank:6 漏洞数:1 | 喜爱渗透,硬件!!、、、、、、)

    @pangshenjie 不是每个学校都是这个名字吧,这个是浙江大学的缩写吧

  79. 2012-11-30 17:04 | Docee ( 路人 | Rank:10 漏洞数:3 | 屌丝)

    @西瓜 网上有算法啊。就是异或而已,很简单的。

  80. 2012-11-30 20:17 | 西瓜 ( 路人 | Rank:6 漏洞数:1 | 喜爱渗透,硬件!!、、、、、、)

    @Docee 嗯 写出来了

  81. 2012-12-20 23:16 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )

    如何得知通信协议的? 根据3次 交互猜出的?

  82. 2013-05-26 18:57 | ayys ( 路人 | Rank:2 漏洞数:2 | 欢迎交流,熟悉正方教务系统漏洞。专业挖洞...)

    求工具。。。。

  83. 2013-06-10 16:23 | 叶问 ( 路人 | Rank:4 漏洞数:3 | 华师 QQ695033480)

    我想说的是,我们的客户端直接放在图书馆, 有外接键盘。 我直接把它打包发到邮箱, 然后回去反汇编一下, 发现oracle地址 账号 口令 全在里面。 这个是软件架构的问题, 很难改的。

  84. 2013-08-12 11:27 | j2ck3r ( 普通白帽子 | Rank:406 漏洞数:92 | 别关注我,跟你不熟。)

    @峙酿君edwardz 求漏洞检测工具下载地址

  85. 2014-08-21 14:47 | Comver ( 路人 | Rank:7 漏洞数:2 | Comver)

    这个略屌