青果教务系统高危无限制注射(影响海量学校)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125469

漏洞标题：青果教务系统高危无限制注射(影响海量学校)

漏洞作者：路人甲

提交时间：2015-07-09 10:45

修复时间：2015-10-12 10:47

公开时间：2015-10-12 10:47

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-09：细节已通知厂商并且等待厂商处理中
2015-07-14：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2015-09-07：细节向核心白帽子及相关领域专家公开
2015-09-17：细节向普通白帽子公开
2015-09-27：细节向实习白帽子公开
2015-10-12：细节向公众公开

简要描述：

这么严重的SQL注射；青果会来确认吗？

详细说明：

青果某系统存在无限制SQL注射；居然没有见到传说中的WAF拦截；并且大部分可以使用SQLMAP自动化注入测试工具进行测试；并且均为DBA权限；危害极大！
SQL Injection：

/_data/index_LOGIN.aspx   学生登录时UserID参数存在SQL注射漏洞

Case: 99%以上都是存在该漏洞；我想我该Mask一下保护这些学生！审核员你说呢？

mask 区域

1.http://**.**.**/_data/index_LOGIN.aspx_
2.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
3.http://**.**.**//_data/index_LOGIN.aspx_
4.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
5.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
6.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
7.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
8.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
9.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
10.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
11.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
12.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
13.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
14.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
15.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
16.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
17.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
18.http://**.**.**/_data/index_LOGIN.aspx_
19.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
20.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
21.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
22.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
23.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
24.http://**.**.**/_data/index_LOGIN.aspx_
25.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
26.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
27.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
28.http://**.**.**/xsweb/(ratfv3201hlusmzcsyjkwn45)/_data/index_LOGIN.aspx_
29.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
30.http://**.**.**/XSWEB//_data/index_LOGIN.aspx_
31.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
32.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
33.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
34.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
35.http://**.**.**/_data/index_LOGIN.aspx_
36.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
37.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
38.http://**.**.**/_data/index_LOGIN.aspx_
39.http://**.**.**/_data/index_LOGIN.aspx_
40.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
41.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
42.http://**.**.**/Xsweb//_data/index_LOGIN.aspx_
43.http://**.**.**/_data/index_LOGIN.aspx_
44.http://**.**.**/bzzyxs//_data/index_LOGIN.aspx_
45.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
46.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
47.http://**.**.**/_data/index_LOGIN.aspx_
48.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
49.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
50.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
51.http://**.**.**/_data/index_LOGIN.aspx_
52.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
53.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
54.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
55.http://**.**.**/_data/index_LOGIN.aspx_
56.http://**.**.**/_data/index_LOGIN.aspx_
57.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
58.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
59.http://**.**.**/XSWEB//_data/index_LOGIN.aspx_
60.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
61.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
62.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
63.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
64.http://**.**.**/_data/index_LOGIN.aspx_
65.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
66.http://**.**.**//_data/index_LOGIN.aspx_
67.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
68.http://**.**.**/_data/index_LOGIN.aspx_
69.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
70.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
71.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
72.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
73.http://**.**.**//_data/index_LOGIN.aspx_
74.http://**.**.**/_data/index_LOGIN.aspx_
75.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
76.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
77.http://**.**.**//_data/index_LOGIN.aspx_
78.http://**.**.**///_data/index_LOGIN.aspx_
79.http://**.**.**/xsweb///_data/index_LOGIN.aspx_
80.http://**.**.**/xsweb//_data/index_LOGIN.aspx

漏洞证明：

Security Testing

手工
1、








2、SQLMAP自动化测试；使用SQLMAP自动化测试的方法就在于验证码会随机变换；经过测试在抓包获取POST提交数据后将CheckCode改为下一个验证码；注射参数后面*号标志即可绕过无限制SQL注射！
POST /xsweb/_data/index_LOGIN.aspx HTTP/1.1
Host: ***.**.***.**
Proxy-Connection: keep-alive
Content-Length: 141
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://***.**.***.*
User-Agent: **********************
Content-Type: application/x-www-form-urlencoded
Referer: http://***.**.***.*/xsweb/_data/index_LOGIN.aspx
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: ASP.NET_SessionId=rvmviarpqq0i3b3eemf5xmae
__VIEWSTATE=dDwtMTc5NzIxMDUzMDs7PlnVMA1CpUQ5r4Nrg5HDOU7eG%2BMh&pcInfo=&typeName=&Sel_Type=STU&UserID=aaa*&PassWord=aaaaa&random=新的验证码&sbtState=

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-10-12 10:47

厂商回复：

漏洞Rank：15 (WooYun评价)

漏洞评价：

2015-07-09 10:56 | Weiy、 ( 实习白帽子 | Rank:35 漏洞数:6 | 为了梦想我会一直前行、)

反正我很期待，我们学校就是用的这个系统，不知洞主可以分享一下思路吗！！你懂的，期末，请不要乱想哈！
2015-07-09 12:02 | Mieless ( 路人 | Rank:11 漏洞数:1 | 我是来打酱油的。)

我手上也有个洞，在考虑提不提交，毕竟这家企业几乎总是忽略，然后偷偷修复
2015-07-09 12:14 | Weiy、 ( 实习白帽子 | Rank:35 漏洞数:6 | 为了梦想我会一直前行、)

@Mieless 嗯、可以拿到管理员的帐号吗？？
2015-07-09 12:37 | Mieless ( 路人 | Rank:11 漏洞数:1 | 我是来打酱油的。)

@Weiy、可以，数据库地址端口账号密码都在手
2015-07-09 16:13 | Weiy、 ( 实习白帽子 | Rank:35 漏洞数:6 | 为了梦想我会一直前行、)

@Mieless 可以看看我们学校吗？
2015-07-09 16:15 | Weiy、 ( 实习白帽子 | Rank:35 漏洞数:6 | 为了梦想我会一直前行、)

@Mieless 可以给个联系方式吗？
2015-07-10 11:06 | 大老赵 ( 路人 | Rank:0 漏洞数:1 | 希望和大家一同学习交流)

@Mieless 可以给个联系方式吗
2015-07-14 12:02 | D_in ( 普通白帽子 | Rank:413 漏洞数:62 | 到我嘴里来)

mark
2015-07-14 13:27 | evil ( 实习白帽子 | Rank:41 漏洞数:21 )

mark
2015-07-14 18:06 | f4ckbaidu ( 普通白帽子 | Rank:185 漏洞数:24 | 开发真是日了狗了)

好多学生党。。
2015-07-14 22:53 | white hat ( 实习白帽子 | Rank:40 漏洞数:17 | 没有网络安全就没有国家安全，没有信息化就...)

怎么没有$$$
2015-07-15 10:05 | Bloodwolf ( 实习白帽子 | Rank:47 漏洞数:8 | whoami)

青果的都是偷偷修复很少给过，洞多了去了。随便X
2015-07-15 10:17 | 大老赵 ( 路人 | Rank:0 漏洞数:1 | 希望和大家一同学习交流)

青果每次都是无影响忽略漏洞，但是自己偷偷修复，最恶心
2015-07-15 17:20 | 哎呦我去 ( 路人 | Rank:4 漏洞数:4 | 新手白帽子！！继续努力)

又是忽略。。。
2015-07-15 17:21 | 哎呦我去 ( 路人 | Rank:4 漏洞数:4 | 新手白帽子！！继续努力)

@Mieless 有个什么洞啊？？可不可以分享下的咯
2015-07-15 21:57 | wellbug ( 路人 | Rank:18 漏洞数:1 | 为人民服务)

11年曾经用这个系统的论坛注入拿到服务器权限.改过成绩和选课.
2015-08-28 14:43 | 哎呦我去 ( 路人 | Rank:4 漏洞数:4 | 新手白帽子！！继续努力)

@Mieless 居然还有青苹果的洞？
2015-09-01 18:31 | 大蛮子 ( 路人 | Rank:4 漏洞数:1 | 专注且低调，为人民服务!)

@Weiy、大神，你好，洞主能否给个思路，谢谢啦
2015-09-10 00:52 | wellsun ( 路人 | Rank:0 漏洞数:1 | www.wellsun.com)

青果学生综合系统跟青果教务系统是两个系统，1个是官方放弃升级了.一个是无限升级. 请分辨清楚,目测是xsweb的学生综合教务系统，sqlmapp --tamper 调用脚本即可绕过注射.
2015-09-11 20:43 | 洛辰 ( 路人 | Rank:8 漏洞数:1 | 小白~~)

大神可以分享一下思路吗？

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125469

漏洞标题：青果教务系统高危无限制注射(影响海量学校)

相关厂商：湖南青果软件有限公司

漏洞作者：路人甲

提交时间：2015-07-09 10:45

修复时间：2015-10-12 10:47

公开时间：2015-10-12 10:47

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125469

漏洞标题： 青果教务系统高危无限制注射(影响海量学校)

相关厂商：湖南青果软件有限公司

漏洞作者： 路人甲

提交时间：2015-07-09 10:45

修复时间：2015-10-12 10:47

公开时间：2015-10-12 10:47

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0125469"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞标题：青果教务系统高危无限制注射(影响海量学校)

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云