当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066638

漏洞标题:厦门大学旧系统泄漏大量学生信息

相关厂商:厦门大学

漏洞作者: JohnWong

提交时间:2014-06-30 14:23

修复时间:2014-08-14 14:24

公开时间:2014-08-14 14:24

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-30: 细节已通知厂商并且等待厂商处理中
2014-06-30: 厂商已经确认,细节仅向厂商公开
2014-07-10: 细节向核心白帽子及相关领域专家公开
2014-07-20: 细节向普通白帽子公开
2014-07-30: 细节向实习白帽子公开
2014-08-14: 细节向公众公开

简要描述:

厦门大学录取查询系统存在SQL注射漏洞,导致大量学生信息泄漏

详细说明:

python sqlmap.py -u "http://121.192.179.132:81/ems/index.php?m=apply&c=apply&a=search" --data="name=admin&id_card=admin&dosubmit=1"
数据库用的Mysql,账号密码拿到了但是限制localhost登录无法远程登录。大量数据在ems库,敏感信息包括admin和student两个表。密码加密方式采用的discuz的方式,md5(md5($pass).$salt)。管理员登录入口没找到,admin表暂时没什么用。学生信息包含了许多敏感信息,包括姓名、生日、邮箱、电话、住址、学号、身份证号等。厦大的学生账号默认是学号/身份证号码后六位,如果没有修改过密码,就能用这个登录没有限制内网访问的各种系统。

漏洞证明:

sqlmap拿到的数据库ems:

Screen Shot 2014-06-29 at 3.12.46 PM.png


拿到部分的学生数据:

0D6BBA43-C218-40C7-8090-AA52653F3A34.png


随便登录下http://121.192.179.132:81/ems/index.php?m=student&c=index

56AF3A5A-AF79-42C5-9F73-ED1C9B648854.png


可以查查成绩、考勤。没有王道啊不幸福啊!
登录i.xmu.edu.cn之后可以做更多事情。比如查看一卡通记录、打饭记录:

8DDCA100-A19E-4DCE-ACAD-B11A15CAC751.png


626F2D69-8959-4379-B0AF-5BC546C0802E.png


修复方案:

参数化查询,默认密码首次登录必须修改。

版权声明:转载请注明来源 JohnWong@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-06-30 14:32

厂商回复:

通知用户处理中

最新状态:

暂无