漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-057953
漏洞标题:西北师范大学SQL注射漏洞
相关厂商:西北师范大学
漏洞作者: IT偏执狂
提交时间:2014-04-21 19:32
修复时间:2014-06-05 19:33
公开时间:2014-06-05 19:33
漏洞类型:SQL注射漏洞
危害等级:低
自评Rank:1
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-21: 细节已通知厂商并且等待厂商处理中
2014-04-26: 厂商已经确认,细节仅向厂商公开
2014-05-06: 细节向核心白帽子及相关领域专家公开
2014-05-16: 细节向普通白帽子公开
2014-05-26: 细节向实习白帽子公开
2014-06-05: 细节向公众公开
简要描述:
SQL注射满天飞,一个巧合下,对西北师范大学进行了一次SQL实例注射。谈及一些绝对新手注射思路。大牛飘过~
详细说明:
过去的几年中,存在SQL注射的网络,很多很多。通过谷歌,搜索关键字inurl:asp?id=,可以找到一大把的SQL注射点。现在通过这样的关键字找到的注入点就会相对来说少一点了。但并不是SQL的注入点因此而少许多。
刚刚同样试着搜索了几个,就没有找到注射点。西北师范大学的一下进入了我的视线。大学与政府的网站往往是容易的地方。进西北师范大学的主站 http://www.nwnu.edu.cn/,用啊D扫描注入点。一下就找到了注入点 http://yjsy.nwnu.edu.cn/Index.php?g=Home&m=Content&a=index&t=Default&webid=27&id=3 这是我们去SQL注入检测。发现的确是存在SQL注入的,但却检测不到表段。是字典的容量太小?是关键字的组合太少?还是啊D自身的局限性?
我们换一个注射工具试试,比较常见的明小子。用明小子可以把表名与列名猜解出来。但最后还是失败了,字符段超出了可控范围。无奈,接着去试试其它的工具。
接着用havij进行SQL注入攻击,果然,找出了有DB权限的ID:yisy.然后,就可以看到有不少数据库,可直接把库注入出来。到此,就停止了,没有继续下去。
对新手来说,最重要的就是要举一反三,把入侵渗透的思路整体上有个把握。工具是人编写出来的,用工具注入,一次和一次的结果可能有差别,学会手工注入,才是重要的。
漏洞证明:
修复方案:
你比我懂。
版权声明:转载请注明来源 IT偏执狂@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-04-26 10:59
厂商回复:
CNVD确认并复现所述情况(验证工作由上海交通大学网络信息中心协助完成),转由CNCERT向教育网应急组织通报。
最新状态:
暂无