方正教务系统sql注射

2012-7-30 11:07:39 来源:网络转载 浏览:808
方正教务系统最新漏洞公开:方正教务系统sql注射。

详细说明:
1.教室查询处有sql注射,如图
 1 union select NULL,owner from all_tables 爆出数据库

方正教务系统sql注射
2.找回密码存在sql注射
验证方式为本地javascript验证,服务端未做验证,可爆出第一个用户(管理员密码)

方正教务系统sql注射

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
首先通过sql注射查处老师登录帐号密码(顺便吐槽下,这代码命名也不规范,表,字段名字尽是xyz,xsz之类的,密码加密也是用的可逆的方式,而且还是自己写的加密算法,或者那个不能叫做加密算法,就是简单的字符串变换)
这个sql注射,他的教师登录的帐号密码存放在yhb这个表里,几个主要字段kl密码js:部门类别yhm:UID kl:口令xm:姓名 szdw:院系
1 union select NULL,js||' '||szdw||' '||xm||' '||yhm||' '||kl 搞到所有老师帐号密码,院系类别啥的

方正教务系统sql注射
看到查询的kl为变换后的字符串,就用Reflector翻了下dll,找到了加密方法

方正教务系统sql注射
然后又找到了解密的方法,花了用.net画了个框(.net画框真的很快),copy一下解密方法

方正教务系统sql注射
到目前为止,我们就已经能都登入所有管理人员(老师,部门的帐号),所以我们用管理员帐号登入,可以查看所有童鞋(包括妹子)信息(电话,住址,pp啥的)

方正教务系统sql注射
那么你就可以实现在如下境界:在校园里面看上一个妹子,立马可以查到她信息,晚上没事去打打骚扰电话啥的。
然后还可以配合http://www.wooyun.org/bugs/wooyun-2010-03823,或者自己读读代码,找那个添加成绩的密码,改改成绩啥的

方正教务系统sql注射

漏洞证明:

方正教务系统sql注射

方正教务系统sql注射

修复方案:
1、对所有输入进行过滤,限制
2、密码最好不采用可逆的方式存储,而且那个key不要直接编译在dll里面,所有的key都是一样的,放在Web.config里面

(0)
(0)