当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-057953

漏洞标题:西北师范大学SQL注射漏洞

相关厂商:西北师范大学

漏洞作者: IT偏执狂

提交时间:2014-04-21 19:32

修复时间:2014-06-05 19:33

公开时间:2014-06-05 19:33

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:1

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-21: 细节已通知厂商并且等待厂商处理中
2014-04-26: 厂商已经确认,细节仅向厂商公开
2014-05-06: 细节向核心白帽子及相关领域专家公开
2014-05-16: 细节向普通白帽子公开
2014-05-26: 细节向实习白帽子公开
2014-06-05: 细节向公众公开

简要描述:

SQL注射满天飞,一个巧合下,对西北师范大学进行了一次SQL实例注射。谈及一些绝对新手注射思路。大牛飘过~

详细说明:

过去的几年中,存在SQL注射的网络,很多很多。通过谷歌,搜索关键字inurl:asp?id=,可以找到一大把的SQL注射点。现在通过这样的关键字找到的注入点就会相对来说少一点了。但并不是SQL的注入点因此而少许多。
刚刚同样试着搜索了几个,就没有找到注射点。西北师范大学的一下进入了我的视线。大学与政府的网站往往是容易的地方。进西北师范大学的主站 http://www.nwnu.edu.cn/,用啊D扫描注入点。一下就找到了注入点 http://yjsy.nwnu.edu.cn/Index.php?g=Home&m=Content&a=index&t=Default&webid=27&id=3 这是我们去SQL注入检测。发现的确是存在SQL注入的,但却检测不到表段。是字典的容量太小?是关键字的组合太少?还是啊D自身的局限性?
我们换一个注射工具试试,比较常见的明小子。用明小子可以把表名与列名猜解出来。但最后还是失败了,字符段超出了可控范围。无奈,接着去试试其它的工具。
接着用havij进行SQL注入攻击,果然,找出了有DB权限的ID:yisy.然后,就可以看到有不少数据库,可直接把库注入出来。到此,就停止了,没有继续下去。
对新手来说,最重要的就是要举一反三,把入侵渗透的思路整体上有个把握。工具是人编写出来的,用工具注入,一次和一次的结果可能有差别,学会手工注入,才是重要的。

漏洞证明:

D.png

havij2.png

修复方案:

你比我懂。

版权声明:转载请注明来源 IT偏执狂@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-04-26 10:59

厂商回复:

CNVD确认并复现所述情况(验证工作由上海交通大学网络信息中心协助完成),转由CNCERT向教育网应急组织通报。

最新状态:

暂无


漏洞评价:

评论