WooYun.org

杭州正方教务管理系统是国内用的比较多一个教务管理系统，据杭州正方官网http://www.zfsoft.com/type_14.html 说正方数字化校园信息平台软件用户名单（共三十个省、市、自治区1000多所高校），因此这个漏洞危害和影响还是相当大的。
正方软件股份有限公司开发的教务管理系统除了.net 开发的B/S供学生查看成绩，选课，老师录入成绩以外，还采用Delphi开发了一个C/S客户端，用于教务员和老师排课改成绩等等软件截图如下。

然而通过分析发现该软件存在许多重大漏洞，用户只要知道了服务端IP，就可以管理整个后台Oracle数据库，导致学生老师的个人隐私信息泄露，以及被篡改成绩的可能。而且经过我们的测试发现许多C/S服务端和B/S服务端在同一个服务器上面，比如218.75.208.58(湖南工业大学)，202.116.160.167(华南农业大学)，如果两个服务端不在同一个服务器上面，也比较好找，因为C/S服务端使用的端口是211，因此很容易通过端口扫描软件扫描整个C段或临近的网段找到服务器IP。
? 漏洞原理解析
我们通过对客户端软件和服务端通信抓包过程发现，每次打开客户端软件时，客户端软件就跟服务器进行了三次TCP会话就完成了验证过程。经过我们的多次分析发现，不管连接那台服务器，这三次TCP会话都是固定的，截图如下：

三次TCP会话后，客户端就可以向服务端发送任意SQL语句了，然后服务端就会返回查询结果。
SQL语句是这样构造的
02DA0000+接下来数据的总字节数+030000000000000003000000022D310103000000010000000B000000FFFF0300000002000000030000000000000008000000+SQL语句的Unicode编码后的字节数+SQL的Unicode编码+08000000060000004400530050005F0071003100
发送给服务器后，然后通过分析服务器就会返回数据包就可以得到返回的ＳＱＬ结果。

?