方正教务系统sql注射

### 简要描述： 你还再为考试挂科而烦恼么，你还再为大学里怎么要妹子电话而纠结么，你想快速找到学校里的漂亮妹子么，那么请看下文 ### 详细说明： 1. 教室查询处有sql注射，如图 [<img src="https://images.seebug.org/upload/201206/1404090379945419521fd8704c2b43b671fe9b93.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/1404090379945419521fd8704c2b43b671fe9b93.png) 1 union select NULL,owner from all_tables 爆出数据库 2. 找回密码存在sql注射 验证方式为本地javascript验证，服务端未做验证，可爆出第一个用户（管理员密码） [<img src="https://images.seebug.org/upload/201206/140410566f64ab1b43bd1fd7c92d5373348c6bf0.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/140410566f64ab1b43bd1fd7c92d5373348c6bf0.png) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 首先通过sql注射查处老师登录帐号密码（顺便吐槽下，这代码命名也不规范，表，字段名字尽是xyz,xsz之类的，密码加密也是用的可逆的方式，而且还是自己写的加密算法，或者那个不能叫做加密算法，就是简单的字符串变换） 这个sql注射，他的教师登录的帐号密码存放在yhb这个表里，几个主要字段kl密码js:部门类别yhm：UID kl:口令xm:姓名 szdw：院系 1 union select NULL,js||' '||szdw||' '||xm||' '||yhm||' '||kl 搞到所有老师帐号密码，院系类别啥的 [<img src="https://images.seebug.org/upload/201206/1404145732183cac918511c563607ea13fa6bf4d.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/1404145732183cac918511c563607ea13fa6bf4d.png) 看到查询的kl为变换后的字符串，就用Reflector翻了下dll，找到了加密方法 [<img src="https://images.seebug.org/upload/201206/14041551421a7ebccfe4458b9ed969388e3bb21f.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/14041551421a7ebccfe4458b9ed969388e3bb21f.png) 然后又找到了解密的方法，花了用.net画了个框（.net画框真的很快），copy一下解密方法 [<img src="https://images.seebug.org/upload/201206/140416490a71a321e584d8e6208a0480a51a2faf.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/140416490a71a321e584d8e6208a0480a51a2faf.png) 到目前为止，我们就已经能都登入所有管理人员（老师，部门的帐号），所以我们用管理员帐号登入，可以查看所有童鞋（包括妹子）信息（电话，住址，pp啥的） [<img src="https://images.seebug.org/upload/201206/140417360322119f4a23553afe528fee2535b079.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/140417360322119f4a23553afe528fee2535b079.png) 那么你就可以实现在如下境界：在校园里面看上一个妹子，立马可以查到她信息，晚上没事去打打骚扰电话啥的。 然后还可以配合 [WooYun: 正方教务管理系统web端成绩录入漏洞](http://www.wooyun.org/bugs/wooyun-2011-03823) ，或者自己读读代码，找那个添加成绩的密码，改改成绩啥的 [<img src="https://images.seebug.org/upload/201206/140420485d3b818e1208cc4edfabf8b47aeb0305.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/140420485d3b818e1208cc4edfabf8b47aeb0305.png) ### 漏洞证明： [<img src="https://images.seebug.org/upload/201206/140421013fd45801b2955f312eded50483b38992.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/140421013fd45801b2955f312eded50483b38992.png) [<img src="https://images.seebug.org/upload/201206/1404211256ba7bb70f2cfa19767a78956bf79ea6.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/1404211256ba7bb70f2cfa19767a78956bf79ea6.png)