青果教务网络管理系统逻辑处理不严谨导致SQL注
首页
阅读:
admin
2019-11-07 11:28

  这里可以看见该系统使用学校(),教务系统有535所学校在用,貌似这个系统有2个版本,有一个较新的不行,但是大多数都是老版本,可以成功利用该漏洞对服务器攻击,差不多可以影响上百所高校教务系统吧。

  该系统有个教师注册页面没有设置访问权限(漏洞页面:)任何人都可以访问,并且随便注册教师,如图1,该站是南京林业大学的,我拿来演示一下.URL(

  然后这个页面对于表单提交的数据只进行了本地JS验证,没有进行服务端验证数据的合法性,如图2,反编译这个页面的DLL

  可以发现服务端对于输入数据完全没有过滤,业务逻辑是考虑了防SQL注入的,因为注册数据插入数据库是直接写的函数,然后用dataset的进行rowadd,貌似没有发现可以利用注入的地方,如图3是插入数据库的函数。

  但是,不是这样就意味着不能注入了,好歹服务器完全没有过滤刚刚的东西,然后我就继续去分析这个代码的处理流程,发现了一个有问题的地方,如图4

  这里对text9也就是输入的***号进行了验证,去查询数据库是否存在该***号,避免重复注册,然后跟进这个函数就会发现,如图5

  关键的地方就在这里了,这个函数对于text1的查询语句代入getds()执行,如图6

  利用SqlDataAdapter进行语句执行,可以执行多行语句,然后,大家都懂的。

  如图7,成功注册一个用户名为jerryl3e的教师用户,***号为122

  再用该***号注册就会发现该***号已注册,说明进行了代码中有漏洞的语句,如图8

  接下来就不用证明什么了,没有继续搞下去,本来想搞试试插入一个管理员,分析了登陆代码,数据插入对了,就是一直密码不对,不知道是不是版本升级什么把密码加密方式变了吧。

  然后这个系统应该默认安装时候数据库是SA用户吧,所以危害很大,再结合我曾经分析的数据库字符串加密算法(),很容易就进行数据库进行改成绩之类的。也可以通过这个注入点直接拿webshell,这个系统默认安装目录是:D:\KINGOSOFT\KINGOJWGL2006\JWWEB\

  我想问一下,大连东软信息学院这种用青果教务系统的可以用软件实现修改学分吗?

  安全脉搏(是以互联网安全为核心的学习、交流、分享平台,集媒体、培训、招聘、社群为一体,全方位服务互联网安全相关的管理,研发和运维人,平台聚集了众多安全从业者及安全爱好者,他们在这里分享知识、招聘人才,与你一起成长。