当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-090405

漏洞标题:某智能英语学习平台弱口令及SQL注入可获取几十万小学生姓名+手机号

相关厂商:酷学院

漏洞作者: cuger

提交时间:2015-01-07 13:10

修复时间:2015-02-21 13:12

公开时间:2015-02-21 13:12

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某智能英语学习平台弱口令及SQL注入,可获取大量学生信息,包括姓名、班级、手机号码信息

详细说明:

语智通智能英语学习平台为广东全通教育股份有限公司旗下的一款产品。
无意中翻到很久以前的语智通智能英语学习平台的一个网站压缩包,之前存在命令执行的,今天又看了下,发现不存在命令执行漏洞了,但是随手试出来一个弱口令
13800138000/123456
该账户可以登录以下网站:
http://ky.52ku.com
http://ky.dg.52ku.com
http://ky.zs.52ku.com
http://cz.52ku.com

yzt1.jpg


yzt2.png


yzt3.png


yzt4.png


yzt5.png

漏洞证明:

其中在查询的地方存在SQL注入漏洞,如上第四张图所示,DBA权限,一个24个库,其中当前库为cloudmeeting(和之前网站源文件查询到的数据库名一致,密码还挺复杂的),存在1037个表,网速太慢就没跑了,放图为证:

1.jpg


2.jpg


3.png


4.png


包含很多小学生的姓名和手机号码,当前账号下有400左右的学生信息,至于其他的,看看网站,估计有个几十万的学生信息,如果下图数字是真实的话:

5.jpg


修复方案:

修改弱口令,修复SQL注入,加强安全意识,顺便自己检测下52ku.com域名下其他网站,估计查询的地方也有注入

版权声明:转载请注明来源 cuger@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝