当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132386

漏洞标题:奥鹏教育某分站后台弱口令&SQL注入

相关厂商:open.com.cn

漏洞作者: 暴走

提交时间:2015-08-07 16:50

修复时间:2015-09-21 17:36

公开时间:2015-09-21 17:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-07: 细节已通知厂商并且等待厂商处理中
2015-08-07: 厂商已经确认,细节仅向厂商公开
2015-08-17: 细节向核心白帽子及相关领域专家公开
2015-08-27: 细节向普通白帽子公开
2015-09-06: 细节向实习白帽子公开
2015-09-21: 细节向公众公开

简要描述:

后台弱口令&SQL注入

详细说明:

详细说明见漏洞证明。

漏洞证明:

问题1:
奥鹏网络学习云平台后台登录存在弱口令(admin/888888),后台登录界面如下:

5.png


使用admin/888888帐户登录后台,后台功能包括:组织结构管理、基础数据管理、招生管理、教务管理、学籍管理、学务管理、考务管理7大功能(看起来很强大哦)

6.png


每个大项功能又包含比较多的子功能,经过一番查看,好像很多数据都未录入,但是感觉系统蛮重要的。
以“学务管理”为例,该功能包含:设置选课方式、学生选课管理、集体选课等功能。(拥有管理员权限可以做任何操作哦,不过我就看了看)

7.png


可以“免修免考”(让你可以不用考试,嘿嘿)

8.png


其他功能就不一一列举了,功能很丰富。
问题2:简单测试了一下,发现存POST型SQL注入(注入点为courseName参数)
POST数据如下:

POST /WebApi/edus/base/Course_GetDataGrid?token={%22UserID%22:%228371cea6-945a-43ca-b996-8ef53b0f0293%22,%22OrganizationID%22:%22038699a3-17dc-4d48-aa5a-7aaf681fe811%22,%22OrgType%22:3,%22OrgImage%22:null,%22ServiceOrgID%22:%2200000000-0000-0000-0000-000000000000%22,%22DataOrgID%22:%22038699a3-17dc-4d48-aa5a-7aaf681fe811%22} HTTP/1.1
Host: edus.open.com.cn
Proxy-Connection: keep-alive
Content-Length: 46
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://edus.open.com.cn
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.132 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://edus.open.com.cn/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: b_t_s=t238655849967x; b_t_s_100200=f58fcd5f-b60f-4646-b9e8-ae20323d7df1; up_first_date=2015-08-04; up_beacon_id_100200=f58fcd5f-b60f-4646-b9e8-ae20323d7df1-1438655850891; b_t_s_100100=f77a5bfa-976f-4a62-9f1e-51c6079b2873; up_beacon_id_100100=f77a5bfa-976f-4a62-9f1e-51c6079b2873-1438656292175; __CT_Data=gpv=4&apv_52710_www=4; WRUID=0; b_t_s_100201=624ff061-3c08-4864-91aa-1c9b54986608; up_beacon_id_100201=624ff061-3c08-4864-91aa-1c9b54986608-1438656384677; b_t_s_100102=61155c61-46b2-457a-8d26-532dd1d1d259; up_beacon_user_id_100201=eduadmin; up_page_stime_100201=1438827948471; up_beacon_vist_count_100201=21; up_page_stime_100103=1438842467811; up_beacon_vist_count_100103=1; b_t_s_100103=8e366208-e9ed-473c-89e8-a0a3918f7afa; up_beacon_id_100103=8e366208-e9ed-473c-89e8-a0a3918f7afa-1438842467819; up_page_stime_100200=1438852497632; up_beacon_vist_count_100200=6; __utma=238318431.811077368.1438657123.1438825517.1438852500.3; __utmc=238318431; __utmz=238318431.1438852500.3.3.utmcsr=bj.open.com.cn|utmccn=(referral)|utmcmd=referral|utmcct=/; Hm_lvt_e208d74b7fc93539fb0706a17abb4f67=1438852508; Hm_lpvt_e208d74b7fc93539fb0706a17abb4f67=1438852508; up_page_stime_100100=1438852507842; up_beacon_vist_count_100100=5; up_page_stime_100202=1438911384462; up_beacon_vist_count_100202=1; b_t_s_100202=63922bf9-d1fe-4e6b-80f4-cb6b39bf618f; up_beacon_id_100202=63922bf9-d1fe-4e6b-80f4-cb6b39bf618f-1438911384468; ASP.NET_SessionId=ujy2dp2fbe2iuumdqfaf2xdm
courseName=&courseCode=&status=&page=1&rows=10


直接用SQLMAP测试如下(网速慢就稍微跑了一下,我们不脱库,证明漏洞存在即可):
操作系统为Windows 2008系统,使用的数据库是SQL Server 2008

1.png


包含8个数据库

2数据库.png


mqdel数据库表:

3.png


Q表的的结构:

4.png


OK,漏洞证明到此结束。

修复方案:

你们是行家里手。

版权声明:转载请注明来源 暴走@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-08-07 17:34

厂商回复:

新上的项目,我们会联系研发进行处理

最新状态:

暂无

漏洞评价:

评论