当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-090789

漏洞标题:南师大小礼包:1500+教授信息泄露及科研文档泄露及全校师生工号/学号与名字泄露

相关厂商:南京师范大学

漏洞作者: 路人甲

提交时间:2015-01-09 14:46

修复时间:2015-01-14 14:46

公开时间:2015-01-14 14:46

漏洞类型:后台弱口令

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-09: 细节已通知厂商并且等待厂商处理中
2015-01-14: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

南师大小礼包:1500+教授信息泄露及科研文档泄露及全校师生工号/学号与名字泄露

详细说明:

问题就在一个科研管理系统的弱口令。以及一个缴费系统设计缺陷。
以下测试均在外网环境下进行。
这个系统貌似很屌的样子,验证码都不需要,不如我们来暴力破解看看。上Burp前,手动试了万能密码,和几个弱口令,发现可以登录。admin:admin

捕获5.PNG


哎哟我去。。这么多正副教授。院长,副校长,馆长。记录1600+条。

捕获0.PNG


全部都是有姓名,电话,手机,邮箱,政治面貌,身份证号的记录,部分有头像。可以增减编辑。

捕获1.PNG


找上传点的途中,发现老公。 - -

捕获2.PNG


贴一点系统详情。

捕获3.PNG


找了上传点,发现并不能返回真实地址,返回的都是downloadID=xxx这种方式的流传输,最后看到这个,尚不清楚升级操作原理,不知道是默认替换主页,还是加载配置文件,还是解压ZIP,怕对系统造成损伤,没敢点升级。如果下了DEMO,搞清楚升级方式,这里是可能可以获取SHELL的。

捕获4.PNG


科研系统弄完,我们获得了教授的工号,和身份证等信息,下面我们去看这个系统。
这个缴费系统,好唬人,也是有验证码的,但是登陆界面提示说,账号和密码默认都是学号,并且进入以后不能更改,这就坑了。它的设计初衷可能是想,反正只能查查有没有缴费,没交费的网上缴费,知道了别人密码也没什么。不过由于设计缺陷,验证码可以绕过,这样我们就可以获得全校学生的学号姓名!
【科普:南师大的学号组成为8位,如20 12 01 02,20为学院编号,12为入学年份,01为该学院自然班班号,02为学号】
缴费系统登录界面,左边的提示温馨感人。

捕获10.PNG


我们尝试登陆20120101.好这里看到尤同学。

捕获6.PNG


我们看一下登录时候的请求。文明提交,7608是验证码。记住我的JSESSIONID。

捕获7.PNG


然后我们把这个请求只改个学号,JSESSIONID不变,验证码不变,重新发送一下。结果是302FOUND。验证码华丽丽的没用。

捕获8.PNG


实际上登录缴费系统,并在网页回显用户ID和姓名需要2个包,第一个是发送查询请求,第二个是请求在页面上显示。好,我们看,一样的JSESSIONID获取到了20120102王同学的姓名。

捕获9.PNG


这个系统让我们知道全校学生的学号姓名。
好,接下来干什么?重置密码啊!
来,我们看这个系统。
统一身份认证系统,估计是学校发现老的登录存在诸多问题,用上了它!强制HTTPS。由于我们获得了教授的工号和身份证,这里登录教授们的账号是没有问题的。

捕获12.PNG


徐教授对不住。。。看了一下,发现跟学生版的没大差距,区别就在于登陆后的用户界面未强制HTTPS,头像上传处有严格后缀限制,别的也没去试。可以看到校园卡消费充值记录,如果是银行卡往校园卡充值应该可以看到银行卡号,这种账号钓鱼领导分分钟,找到xxs打管理员也可以,一般他们对教师没什么戒心。

捕获14.PNG


贴部分功能图

捕获15.PNG


这里有个账号绑定功能,给一人多号用的,那我以后是不是可以冒充教授了。而且没有验证码,可以暴力破密码。这里暴力破解的成本是每个账号(10^5)*11种组合 考虑到最后一位带X。

捕获11.PNG


我们有一个更节省成本的地方,就是忘记密码。还记得【科普】嘛,可以回去看一下,学号里是有入学年份信息的,那这么推算,12年入学的标准出生应该是是1993,往前往后各退一年,这样我们的破解成本每个账号只有3*365种组合。

捕获13.PNG


学校网站历史比较悠久,分站,小站很多问题。以后继续发小礼包。这次因为怕把系统搞坏了没有敢GETSHELL感觉很失败。

漏洞证明:

同上。

修复方案:

厂商奖励要能是免我一次补考就好了。 什么?黑教务系统?谁说的!站出来看我不打死你。哦对,教务系统不是黑不进去,是正常登陆都困难。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-01-14 14:46

厂商回复:

最新状态:

暂无