WooYun.org

橙创家校通系统采用PHP+MYSQL开发的一套方便、快速、安全、高效的学校管理系统。本系统已在全国超过100所中小学校成功应用，并得到了多方一致好评，是国内首个开放型并支持独立运营的优秀系统，一直以来为中国的在线教育事业提供源动力。..
function getIP(){
global $ip;
if (getenv("HTTP_CLIENT_IP"))
$ip = getenv("HTTP_CLIENT_IP");
else if(getenv("HTTP_X_FORWARDED_FOR"))
$ip = getenv("HTTP_X_FORWARDED_FOR");
else if(getenv("REMOTE_ADDR"))
$ip = getenv("REMOTE_ADDR");
else $ip = "Unknow";
return $ip;
}
获取ip的函数 出了问题。
登入时 调用了，
提交单引号看看

唔，这个系统 有管理员，学校管理员 家长 老师 学生 几种类型的账号，
利用场景为，在校学生开通家校通业务后 在平台登入时 可sql获取管理员密码~
不能报错出来，所以我们可以
#1 盲注
修改xff如下

', if(ascii(substr((select username from tj_users),1,1))-97,sleep(2),null))#

更换97+-
即可延时盲注。。

#2
还可以xss
修改xff为 html代码
例如

<script>alert(1)</script>

管理查看登入日志即可触发

加载远程js可盗取管理cookie