漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-038482
漏洞标题:多智教育233网校后台登录漏洞
相关厂商:233.com
漏洞作者: qq1281232825
提交时间:2013-10-18 12:26
修复时间:2013-12-02 12:27
公开时间:2013-12-02 12:27
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-10-18: 细节已通知厂商并且等待厂商处理中
2013-10-21: 厂商已经确认,细节仅向厂商公开
2013-10-31: 细节向核心白帽子及相关领域专家公开
2013-11-10: 细节向普通白帽子公开
2013-11-20: 细节向实习白帽子公开
2013-12-02: 细节向公众公开
简要描述:
多智教育233网校后台信息泄露,弱口令
全站权限 用户名 身份证 手机号 性别 ........一目了然希望尽快修复
详细说明:
综合后台:
http://wx.233.com/Search/school/ddkde233Dexffdbvddfd11/aaammmdddffggddk/ddf3233dfdooqnmb.asp
http://www.233.com/search/Q^V(TM!(R~K1~_ADMAXE/Login.asp (考试大)
综合后台:
http://www.233.com/search/tnbvp10)o/pm1311examimop/admin/login.asp(后台一)
司法,教师,秘书,人力资源,执业药师,物流,报检/货代,会计从业,中级会计,高级会计,公共营养师,管理咨询师,价格鉴证师,心理咨询师,社会工作者
http://www.233.com/search/~sb@tmd!nb_2~/rmb^3.1415^911~oie/admin/login.asp(后台二)
注册会计师,计算机二级,计算机等级,单证员,商务师,会计初级职称,经济师, 精算师
注册税务师,房地产估价师,银行从业,审计师,统计师,跟单员,期货从业,证券经纪人
http://www.233.com/search/+cej^lmmops3-/!zss%20(po^_^mm)/admin/login.asp(后台三)
电子商务,项目管理,Oracle,Java,Cisco,Linux,微软,会计硕士,计算机软件水平考试,中考
http://www.233.com/search/[0]aktydw[7][12]/gv9nmncdtrr@!^n/admin/login.asp(学历)
MBA,EMBA,教育硕士,同等学历,法硕,在职硕士,公共管理硕士,工程硕士,成人高考,双学位,考博,研修
http://www.233.com/search/wcg_6[bcfilmstxy]/jsc+8l39}rur@!b^ybgx/admin/login.asp(外语后台)
商务英语,金融英语,GMAT,商务托福,英语三级,MSE,口译笔译,专四专八,实用英语,小语种
经典译文,LSAT,雅思,生活英语
http://www.233.com/search/b[exam-da08]j[8][8]/gv9nmncdtrr@!^n/admin/Login.asp(后台八)
投资建设项目管理师,安全评价师,房地产经济人,公路监理工程师,环境影响评价师,物业管理师,设备监理师,公路造价工程师
独立后台:
http://www.233.com/search/sknd4'ef!(bgy)vp4/f8~zbq{pezg]/admin/Login.asp(报关员)
http://www.233.com/search/qxe@!0gds[zikao]/evpar9y4~eq!z/admin/Login.asp(自考)
http://www.233.com/search/pjnk{dy}kmy4j/233y5boxmars/admin/Login.asp(导游)
http://www.233.com/search/bm2mdnxdv[wxy]/al1rxt^v!ep^n/admin/Login.asp(外销员)
http://www.233.com/search/J(E[G2W[bx]jE309/oELfA0NLJco/Admin/Login.asp(保险)
http://www.233.com/search/[gwy]swoswsEJ/WDxEraoswowsEr/Admin/Login.asp(公务员)
http://www.233.com/search/^xEgb1OkKx[zq]/x1YbWls+{JEs/Admin/Login.asp(证券)
http://www.233.com/search/[kaoyan]ExHCk-730/EUmDb2JLf26[/Admin/Login.asp (考研)
http://www.233.com/search/webTVWMJGaokao/233T-_-TGaokao/Admin/login.asp(高考)
http://www.233.com/search/yiyao_9[dalkdjglkasdh]/yyh1157sdgOJSaDrhq/Admin/Login.asp (执业医师)
http://www.233.com/search/wszgks10)(je%5Ese_(/wxzg10)jrje%5E%5E_dar/admin/Login.asp (卫生资格)
护士,内科主治医师,外科主治医师,妇产科主治医师,初级药士/初级药师/主管药师,中药士/中药师/主管中药师,检验技士/检查技师/主管技师,卫生资格
http://www.233.com/search/jzgc_10[kdjesDw3312sk]/jzmag188sdgOJ54DrYW/admin/Login.asp (建筑工程)
http://www.233.com/search/Accountant_11[kd3wsdhw2sk]/kjmag199sdgOd3J4DrOM/admin/Login.asp (财会考试)
在线考试系统(题库):
http://ks.233.com/eol/Eaxmda_qqwchjofedas/Admin/Login.asp
添加书籍后台
http://www.233.com/search/{book}[exqkammada]/mydreamxcjc/login.asp
漏洞证明:
修复方案:
修改默认后台密码
版权声明:转载请注明来源 qq1281232825@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:2
确认时间:2013-10-21 15:26
厂商回复:
谢谢你对我们的支持!
最新状态:
暂无