当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-037200

漏洞标题:某市招生考试办公室源码泄露导致数据库泄露

相关厂商:某市招生考试办公室

漏洞作者: Anymous

提交时间:2013-09-16 18:07

修复时间:2013-10-31 18:07

公开时间:2013-10-31 18:07

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-16: 细节已通知厂商并且等待厂商处理中
2013-09-21: 厂商已经确认,细节仅向厂商公开
2013-10-01: 细节向核心白帽子及相关领域专家公开
2013-10-11: 细节向普通白帽子公开
2013-10-21: 细节向实习白帽子公开
2013-10-31: 细节向公众公开

简要描述:

网站数据库可下载,暴露出很多重要信息

详细说明:

以前网站的根目录下数据库可下载,现在补上了,但我下载下来了,最近才看。
不过别的目录下有基本的数据库可下载。
他把今年该市中考数据库放在了另一个站点,但另一个站点安全性也很弱。
泄露出除网站安全信息外,泄露出一个该市某年的高考数据库和该市今年的中考数据库。

15.PNG

9.PNG

漏洞证明:

www.qszkb.gov.cn/zip/wwwroot.zip这是基本数据库,以前跟目录下下载的完整版(现在下载不了了)http://pan.baidu.com/share/link?shareid=1272047208&uk=2332649020 密码:d9jl

.PNG


数据库等会再分析。。。先看看查分的地址http://www.qszkb.gov.cn/page/html/35.php
再进入中考成绩查询。。来到查询页面看到查分需要考号和姓名,很简单的后台默认地址和密码admin admin888 通过图片上传webshell.(现在网站有问题访问不了首页和后台,这可不是我干的啊,我只是看了看啊)webshell地址http://xinli526.b.web1269.com/qazajie.asp 密码TNTHK

4.PNG

可以看到数据库是zk.mdb没有放下载。。直接下载就行了,中考数据库拿到。。这不是主要目标(如果明年数据库还放这,那就主要了,也是危险的,改分。。。),没提权,回归主站。。
看看主要目标的数据库里的东西。。。貌似是整站源码啊。。
在../a/data/gk.mdb下发现高考数据库(也没有防下载)
http://www.qszkb.gov.cn/gb/admin_login.htm留言管理(貌似废弃了)
在../gb/include/23%gbmdb.asp下有数据库,查得账号和密码admin t9vneqz
http://message.qszkb.gov.cn/admin/login.asp这个是现在的留言管理admin t9vneqz
这两个留言本好像有xss喔,不过这不重要,因为又发现了更重要的
根目录下发现配置文件config.inc.php,得知
#[数据库参数]
$dbHost="localhost";
$dbName="a3005";
$dbUser="root";
$dbPass="123456";
#[数据表前缀]
$TablePre="dev";
#[语言]
$sLan="zh_cn";
#[网址]
$SiteUrl="http://www.qszkb.gov.cn/";
根目录下发现后台http://www.qszkb.gov.cn/admint9vneqz.php
一试居然是弱口令admin admin

.PNG

得知phpweb版本v2.0.5
kedit编辑器抓包后nc上传提交webshell,再通过得到的mysql密码提权。。(由于法律原因,我不进行了)
还有就是这是查分网站,有近万名考生,如果挂马。。。。。。

修复方案:

修改弱口令,更新补丁,数据库放下载。。。其余你懂得。。

版权声明:转载请注明来源 Anymous@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-09-21 00:02

厂商回复:

最新状态:

暂无