当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-098878

漏洞标题:大学某通用系统getshell(涉及众多大学)+看我如何重置所有用户密码

相关厂商:高等教育出版社有限公司

漏洞作者: 路人甲

提交时间:2015-03-01 11:45

修复时间:2015-06-04 08:38

公开时间:2015-06-04 08:38

漏洞类型:远程代码执行

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-01: 细节已通知厂商并且等待厂商处理中
2015-03-06: 厂商已经确认,细节仅向厂商公开
2015-03-09: 细节向第三方安全合作伙伴开放
2015-04-30: 细节向核心白帽子及相关领域专家公开
2015-05-10: 细节向普通白帽子公开
2015-05-20: 细节向实习白帽子公开
2015-06-04: 细节向公众公开

简要描述:

#国家重视某通用网络教育系统Getshell(涉及众多大学)
2、获取权限后可以查看众多数据库配置信息以及其余系统文件信息。
3、Getshell之后获取到服务器邮件密码可以重置任何会员的密码。
4、通过重置会员密码可以获取到会员身份资料。

详细说明:

“爱课程”网是教育部、财政部“十二五”期间启动实施的“高等学校本科教学质量与教学改革工程”支持建设的高等教育课程资源共享平台。


漏洞影响有三点:
1、所有原装系统均存在命令执行漏洞-导致Webshell
2、系统getshell可获取众多数据库信息以及其他系统文件
3、看我如何重置此通用系统旗下所有系统会员密码

0x01:所有原装系统均存在命令执行漏洞-导致Webshell
  爱课程教育系统已经普遍安装在众多大学、高等院校。在未升级版本上均存在Struts2命令执行漏洞,可以让黑客获取Webshell权限。黑客从网站目录可以找到整个系统邮箱管理账户与密码,通过邮箱账户密码可以变更所有会员密码,从而登陆!涉及众多大学站点,希望尽快修复与处理。


威胁站点:
http://202.119.249.13 -- 南京工业大学
http://icourse.lygsf.cn -- 连云港师范高等专科学校
http://221.224.254.234 -- 苏州农业职业技术学院
http://202.119.160.175 -- 南京工程学院

还有很多我就不一一列举全部是一样的执行与操作,我就随便拿一个来证明,写出详细过程以及配图操作。写出一个详细案例,其它的列出数据库配置信息就可以了。


执行代码:
selectCourseInfoOut.action?courseInfo.courseInfoId=5000000005
(执行之后均可在左侧查看所属学校以及相关信息)如下图:
1.jpg





0x02:系统getshell可获取众多数据库信息以及其他系统文件
在这里我就以南京工程学院为例做出演示


Struts2命令测试入口:http://202.119.160.175/selectCourseInfoOut.action


1.png


这类系统搭建的时候权限都很足,学校也都很有钱,整个权限也很大,上面放置了各类学校众多系统、文件以及敏感信息,主要自己排查,如图:

1.png


0x02-2:送上南京工程学院的数据库链接信息:


mysql.properties
driver=com.mysql.jdbc.Driver
url=jdbc\:mysql\://127.0.0.1\:3306/icourse?useUnicode\=true&characterEncoding\=UTF-8
username=root
password=ICOURSE2014
log4j.properties
###SQL
log4j.logger.com.ibatis=DEBUG
log4j.logger.com.ibatis.common.jdbc.SimpleDataSource=DEBUG
log4j.logger.com.ibatis.common.jdbc.ScriptRunner=DEBUG
log4j.logger.com.ibatis.sqlmap.engine.impl.SqlMapClientDelegate=DEBUG
log4j.logger.java.sql.Connection=DEBUG
log4j.logger.java.sql.Statement=DEBUG
log4j.logger.java.sql.PreparedStatement=DEBUG


其他网站大同小异!

0x02-3:在此列出其余几个站点的数据库链接信息即可

漏洞证明:

0x03:看我如何重置此通用系统旗下所有系统会员密码


此通用系统其下系统权限Getshell之后均可以在classes\email.properties看到爱课程管理员邮箱密码:

mailServerHost=smtp.126.com
mailServerPort=25
userName=icourse_hep@126.com
password=19216893122
fromAddress=icourse_hep@126.com
mailAliasName=\u7231\u8BFE\u7A0B


我们利用此邮箱账密登陆之后,如图:

1.png


登陆进去后,我们会看到许多已发送以及未读的信件!此邮箱其实是作为此通用系统的一个代发服务。可以重置,以及更改任意用户密码!我们只要对照网址找出用户名发送即可。
以下、我示范一个:

1.jpg


2.jpg


我们在已发送里面找到,已经发送过的账户,然后找到用户名和邮箱,点击下面使用系统的学校,点击忘记密码,直接填写用户名和密码,即可看到此信箱的密码找回和发送出去的密码重置链接快速点击重置链接即可自己修改密码。
重置密码后登陆可以获取注册用户的手机号码、姓名、联系方式、地址等详细信息
再次我随便选择两个用户作为测试:
wgsjszg
wgsjszg@163.com
http://202.119.160.175/loadNowLogInUser.action 南京工程学院
用户:wgsjszg  修改后的密码:12345...
shangjiwu
shangjiwu@126.com
http://icourse.lygsf.cn/sendLoginPage.action 连云港师范高等专科学校


1.jpg


修复方案:

#漏洞的影响力和危害的严重性我想您也看到了,是产品的疏忽还是管理员的意识我想贵公司自有一杆秤,希望尽快处理!也算是个差不多的通用漏洞了!作为白帽子这是我应该做的!希望正确面对互联网安全漏洞问题!


#$奖励有木有?
#小礼物有木有?

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-03-06 08:36

厂商回复:

最新状态:

暂无