当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062433

漏洞标题:家校通数字校园平台SQL注入(大量用户敏感信息/免费为各学校充值)

相关厂商:家校通

漏洞作者: PythonPig

提交时间:2014-05-28 19:13

修复时间:2014-07-12 19:13

公开时间:2014-07-12 19:13

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-28: 细节已通知厂商并且等待厂商处理中
2014-06-01: 厂商已经确认,细节仅向厂商公开
2014-06-11: 细节向核心白帽子及相关领域专家公开
2014-06-21: 细节向普通白帽子公开
2014-07-01: 细节向实习白帽子公开
2014-07-12: 细节向公众公开

简要描述:

某全国性教育平台SQL注入
大量用户敏感信息泄漏
免费为各学校充值
群发(单发)短信
妈妈再也不用担心我上学了~~

详细说明:

写在前面:该教育平台有全国多个省市的学校在使用,粗略的计算了一下:
1、几百所学校 X 每个学校100名老师 = 几万老师信息
2、几百所学校 X 每个学校1000名学生 = 几十万学生信息
3、几百所学校 X 每个学校1000名学生家长 = 几十万学生家长信息
4、系统管理员权限很大,可以导出各个学校老师、学生、家长的信息
5、系统管理员权限很大,可以为各个学校充值~~免费的哟~~
6、以学校、校长、老师给学生家长、学生群发(单发)短信,利用家长对学校、老师的信任,其中危害你们懂的~~
下面说点正事吧
0x01:先来看看注入点:http://www.eee.cn/yizhi/list_inc/miyu_list_inc.jsp?app=reping&type=4, type存在boolean-based blind注入。
0x02:下面是数据库

.JPG


0x03:一共有几百个表,这里直接就把数据贴出来吧,下面是可以登陆后台的“管理员”账户密码,后台地址为:http://www.eee.cn/manager.do

.jpg


0x04:技术部1 为系统管理员,用户名:dwx,密码:net3721,进入后台,后台地址为:http://www.eee.cn/manager.do
1、可以导出各个学校老师、家长资料
老师资料

.jpg


学生、学生家长资料

-家长资料改.jpg


2、管理全国各地学校、代理商,每个代理商代理一个地区的学校,代理商的权限也很大,可以导出资料,群发短信等等

-查看密码-修改权限副本.jpg


3、看到了15万余额~激动中~~可以为各个学校免费充值,为各地代理商修改费用标准,充值、修改密码等等~~

.jpg

.jpg

漏洞证明:

见上~

修复方案:

1、过滤
2、全站查找,还有其他的注入点
3、类似的还有另个三个站,上面的那个系统管理员也可以登陆,修改密码

.jpg


4、密码加密
5、涉及这么多学校,这么多钱钱,多给点rank不花钱~~呵呵~?

版权声明:转载请注明来源 PythonPig@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2014-06-01 23:27

厂商回复:

CNVD确认并复现所述情况,由CNVD通过公开渠道向网站管理方通报处置。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-05-28 16:11 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    @疯狗 @xsser @Finder 哥哥们,这个洞走小厂商啊?家校通本身就是运营商与教育部门推出的一个产品,不是厂商的嘛,为什么不给cncert处理?

  2. 2014-05-28 18:27 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @PythonPig cert最近好像很忙

  3. 2014-05-28 18:50 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    @疯狗 狗哥,这个“家校通”是个产品,不是厂商啊。这个洞估计“家校通”不会认领,你把这个洞删了吧,作为白帽子本想为安全做点事,,如果最后公开了,结果反而把厂商坑了。还有狗哥,这个竟然也是小厂商啊?

  4. 2014-05-28 19:13 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @PythonPig 漏洞重新分配给cert了 :)

  5. 2014-05-29 08:32 | secgov ( 路人 | Rank:10 漏洞数:3 | 安全审计,漏洞挖掘,WAF. 揭露漏洞有风险,...)

    家校通 本来就是不值得一提的东西。

  6. 2014-05-29 10:36 | 小学猹 ( 实习白帽子 | Rank:81 漏洞数:30 | 暮春者,春服既成,冠者五六人,童子六七人...)

    - -mark一下

  7. 2014-07-11 16:41 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    这好像不是通用的东西?

  8. 2014-07-11 17:30 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    @wefgod 难道是个通用?

  9. 2014-07-12 19:46 | 4399gdww ( 路人 | Rank:20 漏洞数:4 | )

    打码是一门高深的学问啊

  10. 2014-07-12 20:15 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @wefgod 咳咳 你尽盯着通用

  11. 2014-07-12 20:56 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    terminal背景还能弄这么漂亮!

  12. 2014-07-12 20:56 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    @动后河 换个背景颜色而已~

  13. 2014-07-12 22:40 | Ev1l ( 实习白帽子 | Rank:68 漏洞数:20 | 问题真实存在但影响不大。联系邮箱security...)

    严重声明这是个很通用的东西,记得我上小学的时候这玩意就出现了,当时每个与还有6块钱呢

  14. 2014-07-12 22:42 | reality0ne ( 路人 | Rank:18 漏洞数:7 )

    我怀疑用那个blog1801帐号进去还能getshell

  15. 2014-07-12 22:49 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @PythonPig 你这漏洞发的有点过头了

  16. 2014-07-12 23:14 | lck丶 ( 路人 | Rank:6 漏洞数:2 | 求大牛拿0day砸死)

    果然打码是个技术活

  17. 2014-07-12 23:36 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    @U神 怎么说?

  18. 2014-07-12 23:59 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @PythonPig 尽量不要去获取数据,这可能会带来不必要的麻烦,其实这已经涉嫌非法获取计算机信息系统数据罪了,如果获取的是无用的数据、情节不严重则不构成此罪

  19. 2014-07-13 00:01 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    @U神 哥,表吓我,我没有获取任何数据啊~而且目的就是想提醒下厂商~~

  20. 2014-07-13 02:35 | Arthur ( 实习白帽子 | Rank:77 漏洞数:33 | USA,I am coming!!!!!)

    @U神 U神又在恐吓小学生了。

  21. 2014-07-13 09:37 | 低调的瘦子 ( 普通白帽子 | Rank:466 漏洞数:68 | loading……………………)

    @U神 已通过洞主打码技术顺利getshell并再次告知管理方