当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-074420

漏洞标题:辽宁工程技术大学教务处存在多处严重漏洞

相关厂商:CCERT教育网应急响应组

漏洞作者: 路人甲

提交时间:2014-09-01 10:21

修复时间:2014-09-06 10:22

公开时间:2014-09-06 10:22

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-01: 细节已通知厂商并且等待厂商处理中
2014-09-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

放假准备渗透下教务处,发现教务处存在多处严重漏洞如XSS,SQL注入,Tomcat自身漏洞(版本过低)。最要命的是SQL注入漏洞,他会导致大量信息外泄,甚至可以直接修改成绩。

详细说明:

目前发现两处注入漏洞如下:
1. http://60.18.131.131//lntu/aao_52/index.jsp?curformat=d&curid=10498&depfid=5986&depfname=教学研究与质量科&fid=10498(fid参数过滤不严)
2. http://60.18.131.131:11180/newacademic/bing/answer/answer.jsp 教务答疑查询功能(POST型)
通过sqlmap神器,测试注入点,探测些关键信息。

5.png


接下来,查询数据库中有什么表。
教务处系统比较大,有300多张表,发现有张叫做DS_USER的表。

6.png


自定义SQL语句,查询出大约有8W行数据,就是他了。

7.png


因为我们学号是纯数字组成,我推测管理员或者其他高权限用户应该是字母。接着自定义SQL语句,查询不含0-9字符的用户,查询出60行。

8.png


接着就是体力活了……尝试哪个用户权限大……此处省略1000字。。。
最后,找到一个叫“ZHANGkb”的用户,登陆后,管理员了。

9.png


找到用户管理功能,查询有维护教务公告权限的用户,因为它有上传权限。

10.png


OK,接下来以他们的身份登陆。

11.png


点击添加,看到了编辑器,上传点。

12.png


发现可以上传任何类型的文件,那我要试试。

13.png


很显然他是进行了服务器验证,接下来把后缀名改成doc试试。

14.png


应该是上传成功了。
接下来启动burpsuite神器研究下是怎么回事。
直接改包,将doc改成jsp然后发包,返回一个地址。

15.png


但是访问改地址提示404,看了不行。
接下来试试00截断上传。
将Content-Length长度+1,文件名后面加个空格,用16进制编辑器将20改成00

16.png


17.png


重新提交,返回出了地址

18.png


复制到浏览器

19.png


恩,就这样了,没干坏事,谢绝查水表(全程开着vpn+tor我相信你也找不到我)

漏洞证明:

目前发现两处注入漏洞如下:
1. http://60.18.131.131//lntu/aao_52/index.jsp?curformat=d&curid=10498&depfid=5986&depfname=教学研究与质量科&fid=10498(fid参数过滤不严)
2. http://60.18.131.131:11180/newacademic/bing/answer/answer.jsp 教务答疑查询功能(POST型)
注入1验证

1.png


2.png


注入2验证
查询时提交’ and ‘1’=’2,没有搜索到结果

3.png


提交’ or ‘1’=’1,查询到所有结果

4.png

修复方案:

升级Tomcat,修复注入漏洞,加装硬件防火墙……

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-09-06 10:22

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-09-03 17:57 | wellsun ( 路人 | Rank:0 漏洞数:1 | www.wellsun.com)

    欢迎大家加入通杀教务系统漏洞QQ 群: 310068074