### 简要描述: 你还再为考试挂科而烦恼么,你还再为大学里怎么要妹子电话而纠结么,你想快速找到学校里的漂亮妹子么,那么请看下文 ### 详细说明: 1. 教室查询处有sql注射,如图 [<img src="https://images.seebug.org/upload/201206/1404090379945419521fd8704c2b43b671fe9b93.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/1404090379945419521fd8704c2b43b671fe9b93.png) 1 union select NULL,owner from all_tables 爆出数据库 2. 找回密码存在sql注射 验证方式为本地javascript验证,服务端未做验证,可爆出第一个用户(管理员密码) [<img src="https://images.seebug.org/upload/201206/140410566f64ab1b43bd1fd7c92d5373348c6bf0.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/140410566f64ab1b43bd1fd7c92d5373348c6bf0.png) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 首先通过sql注射查处老师登录帐号密码(顺便吐槽下,这代码命名也不规范,表,字段名字尽是xyz,xsz之类的,密码加密也是用的可逆的方式,而且还是自己写的加密算法,或者那个不能叫做加密算法,就是简单的字符串变换) 这个sql注射,他的教师登录的帐号密码存放在yhb这个表里,几个主要字段kl密码js:部门类别yhm:UID kl:口令xm:姓名 szdw:院系 1 union select NULL,js||' '||szdw||' '||xm||' '||yhm||' '||kl 搞到所有老师帐号密码,院系类别啥的...
### 简要描述: 你还再为考试挂科而烦恼么,你还再为大学里怎么要妹子电话而纠结么,你想快速找到学校里的漂亮妹子么,那么请看下文 ### 详细说明: 1. 教室查询处有sql注射,如图 [<img src="https://images.seebug.org/upload/201206/1404090379945419521fd8704c2b43b671fe9b93.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/1404090379945419521fd8704c2b43b671fe9b93.png) 1 union select NULL,owner from all_tables 爆出数据库 2. 找回密码存在sql注射 验证方式为本地javascript验证,服务端未做验证,可爆出第一个用户(管理员密码) [<img src="https://images.seebug.org/upload/201206/140410566f64ab1b43bd1fd7c92d5373348c6bf0.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/140410566f64ab1b43bd1fd7c92d5373348c6bf0.png) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 首先通过sql注射查处老师登录帐号密码(顺便吐槽下,这代码命名也不规范,表,字段名字尽是xyz,xsz之类的,密码加密也是用的可逆的方式,而且还是自己写的加密算法,或者那个不能叫做加密算法,就是简单的字符串变换) 这个sql注射,他的教师登录的帐号密码存放在yhb这个表里,几个主要字段kl密码js:部门类别yhm:UID kl:口令xm:姓名 szdw:院系 1 union select NULL,js||' '||szdw||' '||xm||' '||yhm||' '||kl 搞到所有老师帐号密码,院系类别啥的 [<img src="https://images.seebug.org/upload/201206/1404145732183cac918511c563607ea13fa6bf4d.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/1404145732183cac918511c563607ea13fa6bf4d.png) 看到查询的kl为变换后的字符串,就用Reflector翻了下dll,找到了加密方法 [<img src="https://images.seebug.org/upload/201206/14041551421a7ebccfe4458b9ed969388e3bb21f.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/14041551421a7ebccfe4458b9ed969388e3bb21f.png) 然后又找到了解密的方法,花了用.net画了个框(.net画框真的很快),copy一下解密方法 [<img src="https://images.seebug.org/upload/201206/140416490a71a321e584d8e6208a0480a51a2faf.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/140416490a71a321e584d8e6208a0480a51a2faf.png) 到目前为止,我们就已经能都登入所有管理人员(老师,部门的帐号),所以我们用管理员帐号登入,可以查看所有童鞋(包括妹子)信息(电话,住址,pp啥的) [<img src="https://images.seebug.org/upload/201206/140417360322119f4a23553afe528fee2535b079.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/140417360322119f4a23553afe528fee2535b079.png) 那么你就可以实现在如下境界:在校园里面看上一个妹子,立马可以查到她信息,晚上没事去打打骚扰电话啥的。 然后还可以配合 [WooYun: 正方教务管理系统web端成绩录入漏洞](http://www.wooyun.org/bugs/wooyun-2011-03823) ,或者自己读读代码,找那个添加成绩的密码,改改成绩啥的 [<img src="https://images.seebug.org/upload/201206/140420485d3b818e1208cc4edfabf8b47aeb0305.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/140420485d3b818e1208cc4edfabf8b47aeb0305.png) ### 漏洞证明: [<img src="https://images.seebug.org/upload/201206/140421013fd45801b2955f312eded50483b38992.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/140421013fd45801b2955f312eded50483b38992.png) [<img src="https://images.seebug.org/upload/201206/1404211256ba7bb70f2cfa19767a78956bf79ea6.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/1404211256ba7bb70f2cfa19767a78956bf79ea6.png)
