当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0137428

漏洞标题:福州市教育局某系统设计不当导致SQL注入、校验绕过(可篡改中考分数、可入侵教育局OA系统等)

相关厂商:福州市教育局

漏洞作者: 安然意境

提交时间:2015-09-11 14:54

修复时间:2015-10-26 17:04

公开时间:2015-10-26 17:04

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-11: 细节已通知厂商并且等待厂商处理中
2015-09-11: 厂商已经确认,细节仅向厂商公开
2015-09-21: 细节向核心白帽子及相关领域专家公开
2015-10-01: 细节向普通白帽子公开
2015-10-11: 细节向实习白帽子公开
2015-10-26: 细节向公众公开

简要描述:

福州市教育局某系统设计不当导致SQL注入、校验绕过(可篡改中考分数、可入侵教育局OA系统等)
希望走大厂商流程。
建议转由cncert国家互联网应急中心处理。不建议WooYun管理员转给CCERT教育网应急响应组,貌似CCERT教育网应急响应组之前无故忽略了好几个漏洞。
因为涉及到许多OA及教育局重要系统,涉及数十万数据,所以提交的时候选择了通用性软件。

详细说明:

注入点:
http://218.66.104.28:308/chuli.aspx?s=0.09647750668227673&oper=cha_jieguo&p1=9&p2=90
p1 p2等参数均可注入。
可获取数据库共计40个。
部分数据库名字:
wangluo

(这里指的是福建网罗数码科技有限公司,该公司的成绩管理系统、网上评卷系统、学籍系统、招生考试系统、网上报名系统、考试通讯指挥系统、网上录取系统、校园网上评卷系统、网上报志愿系统、自学考试管理系统 等10个系统基本上都正在被福州市教育局使用。)


wl_fz_zj

(福建网罗数码科技有限公司-福州-学生质检成绩)


wl_fz_zjtest
WL_StuReg
fzss_oa

(福州市教育局某OA系统)


zzzkcf_2014

(2014年福州中考查分)


……不一一列举,详见图片。

漏洞证明:

数据库40个:

03.jpg


随机挑选一个数据库结构预览:

01.jpg


存放质检、中考成绩的数据库:

04.png


尝试获取前三位学生各科成绩:

05.png


获取成功:

06.png


尝试验证成绩真实性,打开福州市教育局指定的查分网站,输入准考证号和姓名,由于http://218.66.104.28:308/chuli.aspx设计不当,可以绕过考生姓名校验,直接将p2参数的值改为准考证号码即可查询。
尝试对比考生成绩是否真实有效,以准考证号码为908830301的学生为例:

cx01.png


真实有效,与数据库一致。
因法律限制,点到为止,篡改学生分数数据、教育局OA系统等数据库不进行测试。

修复方案:

1.SQL防止注入。
2.绕过考生姓名校验的接口要尽快改进。

版权声明:转载请注明来源 安然意境@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-09-11 17:02

厂商回复:

CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给福建分中心,由福建分中心后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-09-09 17:42 | vc1 ( 路人 | Rank:26 漏洞数:5 | vc1)

    开始sql系列了吗

  2. 2015-09-09 18:55 | 安然意境 ( 普通白帽子 | Rank:192 漏洞数:82 | 无论是你的事业还是你的个人,可能走的过程...)

    由于前期报送乌云 审核时间过长,已于5天前报送第三方漏洞报告平台——“漏洞盒子”。编号为Vulbox-2015-010675,目前漏洞属于待审阅状态,望两个平台了解。

  3. 2015-09-09 19:06 | 安然意境 ( 普通白帽子 | Rank:192 漏洞数:82 | 无论是你的事业还是你的个人,可能走的过程...)

    简要描述补充如下:因为这个SQL注入可以涉及到40多个数据库,数百张数据表,数据量达到百万级别,且一些内容较为敏感(涉及一些学生学籍、个人资料、家庭住址、中考查分、教育局内部OA、财政支出和收入记录表格,中考联网评卷系统 等),故评为高危漏洞。 福建网罗数码科技有限公司,该公司的成绩管理系统、网上评卷系统、学籍系统、招生考试系统、网上报名系统、考试通讯指挥系统、网上录取系统、校园网上评卷系统、网上报志愿系统、自学考试管理系统 等10个系统基本上都正在被福建省教育厅等多个系统使用中。

  4. 2015-10-26 21:12 | 老实先生 ( 路人 | Rank:17 漏洞数:8 | 只会注不会shell)

    手机像素不错