当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0159049

漏洞标题:看我如何控制四川大学摄像头(涉及大量教师结婚证/驾驶证)

相关厂商:四川大学信息管理中心

漏洞作者: 小黑屋

提交时间:2015-12-08 12:05

修复时间:2016-01-23 15:16

公开时间:2016-01-23 15:16

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-08: 细节已通知厂商并且等待厂商处理中
2015-12-10: 厂商已经确认,细节仅向厂商公开
2015-12-20: 细节向核心白帽子及相关领域专家公开
2015-12-30: 细节向普通白帽子公开
2016-01-09: 细节向实习白帽子公开
2016-01-23: 细节向公众公开

简要描述:

一切都是偶然

详细说明:

当redis未授权火的时候,我当然也想找个例子试试,于是便扫描了川大的dns B段,202.115.0.0/16,运气也挺不错扫描到了一个目标:202.115.45.161

1.png


但是主机是windows,并且没有找到路径,只好先检测看一下。
0x01 拿ip到bing查一下(直接访问http://clbz.scu.edu.cn/打不开)

2.png


找到:http://clbz.scu.edu.cn:8080/com.wisesoft.cdreg.web/vehicleregistration/getCheckByList.html
但是打开一片空白,稍微修改url使之错误,成功的跳转到系统登录页面
http://clbz.scu.edu.cn:8080/com.wisesoft.platform.web/cdreg/login/welcome.html(系统1)
再去掉后面多余的文件及目录地址,得到第二个系统http://clbz.scu.edu.cn:8080/com.wisesoft.cdreg.web(系统2)
对于系统1,存在验证码重放漏洞,直接爆破得到一枚账号:test 123

3.png


系统1里面存放的都是开车进入学校的预约,但是并没有上传以及爆路径的信息。
0x02 这个时候只有看系统2,但是老师工号和姓名都没有,右键源代码查看登录成功后的跳转链接

4.png


直接访问该链接,发现跳转到了系统1的登录页面
http://clbz.scu.edu.cn:8080/com.wisesoft.cdreg.web/vehicleregistration/toList.html

5.png


这里我就明白了,系统1的cookie信息同样再系统2处有效,那么

6.png


这里前台js验证文件合法性,burp抓包绕过后上传shell

http://clbz.scu.edu.cn:8080/fileuploads/chopper.jsp   chopper


7.png


最高权限,直接添加用户

8.png


9.png


0x03 找到网站数据库配置文件

jdbc.driverClassName=oracle.jdbc.driver.OracleDriver
jdbc.url=jdbc:oracle:thin:@127.0.0.1:1521:orcl
jdbc.username=cdcard
jdbc.password=manager
jdbc.pgsql.url=jdbc:postgresql://192.168.9.2:5432/ipms
jdbc.pgsql.driverClassName=org.postgresql.Driver
jdbc.pgsql.username=ipms
jdbc.pgsql.password=ipms


分别是oracle和postgresql的,而且服务器上带的有navicat,那么直接连接postgresql
在channel_info里面发现了80多个摄像头ip

10.png


绝大多数都是admin admin的弱口令

11.png


12.png

漏洞证明:

oracle数据库里存放是数万教师的信息,这就不看了,而且刚才上传webshell的地方原来是上传驾驶证和结婚证的地方,所以大量的结婚证和驾驶证

13.png

修复方案:

修改口令

版权声明:转载请注明来源 小黑屋@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-12-10 15:47

厂商回复:

感谢可爱的白帽子,已经转告相关部门处理

最新状态:

暂无