当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093657

漏洞标题:某省教师管理信息系统任意用户密码修改漏洞(大量信息泄漏)

相关厂商:cncert国家互联网应急中心

漏洞作者: 大亮

提交时间:2015-01-26 12:24

修复时间:2015-03-12 12:26

公开时间:2015-03-12 12:26

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-26: 细节已通知厂商并且等待厂商处理中
2015-01-29: 厂商已经确认,细节仅向厂商公开
2015-02-08: 细节向核心白帽子及相关领域专家公开
2015-02-18: 细节向普通白帽子公开
2015-02-28: 细节向实习白帽子公开
2015-03-12: 细节向公众公开

简要描述:

听说曝出陈赫离婚的为王姓,顿时大家都纷纷猜测是谁,有人猜测是一起演爱情公寓的王传君,有人猜测是一起奔跑吧的宝蓝某位,有人说是为了升职加薪的王大锤,有人说是川神笔下无所不能的王尼玛,有人说是陈赫在机场偶遇tf中的王俊凯,众说纷纭。。。不过以我多年黑客经验,我猜十有八九应该是大黑阔王凯轮啊!!!

详细说明:

1.对某个ip段进行扫描,发现有个为 贵州省教师管理信息系统。
http://122.11.49.93/

dengluyemian.jpg


这个系统看着还算高大上啊,发现某个IP存在svn信息泄漏

svn.jpg


2.想看web-inf下有什么敏感信息,发现没有文件

web-inf.jpg


3.查看其他代码,看到有个管理员忘记密码的链接,直接点击登录页面内的忘记密码没有用,把
源码处的忘记密码链接复制到地址栏中,就可以打开这个页面了,第一步是填写用户名,admin,然后发送验证到邮箱中,发现填写验证码直接就有状态提示正不正确

gaimima.jpg


4.burp截取请求,猜4位数字,发送请求包,不正确返回状态2,正确返回1,成功破解

baopo.jpg


4.修改密码成功

chenggong.jpg


可以登录了.jpg


5.登录进去,查看资料,很多教师信息啊

xitong1.jpg


证件照这样,真人应该也可以了,话说当老师的妹子真多啊

xinxi.jpg


8.在源代码里又找了下,用这个系统的应该有好几吧
http://gl.yanxiu.com/
http://guanli.yanxiu.com/
http://122.11.49.93/
http://jsxx.gsedu.cn/

xitong2.jpg

漏洞证明:

见上图

修复方案:

svn安全配置
密码逻辑处 验证码可设置字母数字,且没法送一次验证请求错误之后,重新改变验证码

版权声明:转载请注明来源 大亮@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-01-29 10:49

厂商回复:

CNVD未直接复现所述情况,按照漏洞报送者所述情况整理通报,转由CNCERT下发给贵州分中心,由贵州分中心后续协调网站管理单位处置。

最新状态:

暂无