科大讯飞教育一处SQL注入直接拿下主站服务器

admin
admin
admin
107901
文章
90
评论
2017年4月30日12:27:06评论472 views字数 234阅读0分46秒阅读模式
摘要

2016-03-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-04-22: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(0) 关注此漏洞

缺陷编号: WooYun-2016-181294

漏洞标题: 科大讯飞教育一处SQL注入直接拿下主站服务器

相关厂商: 科大讯飞教育

漏洞作者: 晓庄

提交时间: 2016-03-08 20:20

公开时间: 2016-04-22 20:20

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 数据库账户权限过高 SQL注入 科大讯飞 讯飞教育

0人收藏

漏洞详情

披露状态:

2016-03-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-04-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

话说正在由科大讯飞老师带领C语言实训,第一周已经结束。

听说科大讯飞待遇好,真希望以后毕业能进去。

详细说明:

先捋一捋思路。

之前是 WooYun: 科大讯飞一处C语言专业在线学习平台可执行Admin权限命令 这个问题

【http://c.iflysse.com】 还有点小问题 但不是重点。

之前就是想拿下此站点的干活。。。

之前这个网站注册后可以上传头像。发现是以身份证命名。

然后是本地限制身份证。于是直接POST尝试。

发现可以将身份证参数改成 1.aspx;1 这样的内容 于是就能获得http://c.iflysse.com/Content/FaceImg/1.aspx;1.png

【PS:之前已经验证是 IIS6.0。。。】

这样的链接 但是上传 一句话就不能访问。。。

额 好吧 我以为是自己的问题 最后进入服务器发现是有个赛门铁克杀毒滴。跪了。

这个走不通。

然后通过百度 site:iflysse.com 发现这个 IP绑定了 好几个域名 并且之前扫描发现有 3389端口 尝试可以连接 还有 1433端口。

翻找域名的时候发现一个连接

http://training.iflysse.com/typewrite/ExamIndex.aspx

打开的时候有个默认的账号密码

是 shunlian 账号密码一样。

【PS:此账号可以登录 好几个子域名下的网站,请老师注意!】

科大讯飞教育一处SQL注入直接拿下主站服务器

额 貌似是隔壁老师的名字倒置。

登录后进入一个连接

http://training.iflysse.com/typewrite/ExamList.aspx

最后发现不登录也能直接进入 无语了、、、

然后在 考试名称: 框中输入' 进行尝试

科大讯飞教育一处SQL注入直接拿下主站服务器

然后出现如下内容

科大讯飞教育一处SQL注入直接拿下主站服务器

额 好吧 是个注入点

然后 抓包 用SQLMAP 走起。。。

python.exe sqlmap.py -r xx.txt --dbs

科大讯飞教育一处SQL注入直接拿下主站服务器

科大讯飞教育一处SQL注入直接拿下主站服务器

然后--os-shell

科大讯飞教育一处SQL注入直接拿下主站服务器

直接执行命令 whoami 是system权限 。

这不是想干啥就干啥吗?

然后想种远控 额 但是杀毒KO 想写一句话 但是杀软KO

建立个 xz$ 账号进去但是发现连接超出最大限制

使用 cmd命令 query user 和 logoff ID 关闭一个会话的远程

连接进去喽

翻找出 c.iflysse.com 网站目录

D:/CLearnsystem/qian 尝试建立了一个TXT 发现能通过网址打开。

好吧,终于拿下想要的网站。当然 主站也在其中哇。

没有乱搞也并未动文件。

额 这个实训加分吗?连老师。

漏洞证明:

先捋一捋思路。

之前是 WooYun: 科大讯飞一处C语言专业在线学习平台可执行Admin权限命令 这个问题

【http://c.iflysse.com】 还有点小问题 但不是重点。

之前就是想拿下此站点的干活。。。

之前这个网站注册后可以上传头像。发现是以身份证命名。

然后是本地限制身份证。于是直接POST尝试。

发现可以将身份证参数改成 1.aspx;1 这样的内容 于是就能获得http://c.iflysse.com/Content/FaceImg/1.aspx;1.png

【PS:之前已经验证是 IIS6.0。。。】

这样的链接 但是上传 一句话就不能访问。。。

额 好吧 我以为是自己的问题 最后进入服务器发现是有个赛门铁克杀毒滴。跪了。

这个走不通。

然后通过百度 site:iflysse.com 发现这个 IP绑定了 好几个域名 并且之前扫描发现有 3389端口 尝试可以连接 还有 1433端口。

翻找域名的时候发现一个连接

http://training.iflysse.com/typewrite/ExamIndex.aspx

打开的时候有个默认的账号密码

是 shunlian 账号密码一样。

【PS:此账号可以登录 好几个子域名下的网站,请老师注意!】

科大讯飞教育一处SQL注入直接拿下主站服务器

额 貌似是隔壁老师的名字倒置。

登录后进入一个连接

http://training.iflysse.com/typewrite/ExamList.aspx

最后发现不登录也能直接进入 无语了、、、

然后在 考试名称: 框中输入' 进行尝试

科大讯飞教育一处SQL注入直接拿下主站服务器

然后出现如下内容

科大讯飞教育一处SQL注入直接拿下主站服务器

额 好吧 是个注入点

然后 抓包 用SQLMAP 走起。。。

python.exe sqlmap.py -r xx.txt --dbs

科大讯飞教育一处SQL注入直接拿下主站服务器

科大讯飞教育一处SQL注入直接拿下主站服务器

然后--os-shell

科大讯飞教育一处SQL注入直接拿下主站服务器

直接执行命令 whoami 是system权限 。

这不是想干啥就干啥吗?

然后想种远控 额 但是杀毒KO 想写一句话 但是杀软KO

建立个 xz$ 账号进去但是发现连接超出最大限制

使用 cmd命令 query user 和 logoff ID 关闭一个会话的远程

连接进去喽

翻找出 c.iflysse.com 网站目录

D:/CLearnsystem/qian 尝试建立了一个TXT 发现能通过网址打开。

好吧,终于拿下想要的网站。当然 主站也在其中哇。

没有乱搞也并未动文件。

额 这个实训加分吗?连老师。

修复方案:

我不太懂咋修复滴 只知道 SQL权限降低点吧。。。

版权声明:转载请注明来源 晓庄@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin