当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-06264

漏洞标题:天空教室重大漏洞

相关厂商:南京易学信息技术有限公司

漏洞作者: LinuxPad

提交时间:2012-04-22 10:40

修复时间:2012-04-22 10:40

公开时间:2012-04-22 10:40

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:11

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-04-22: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-04-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

天空教室系统存在重大漏洞,可获取shell,百发百中。。。

详细说明:

天空教室的有个精品课程系统,是用于老师制作多媒体课件的一套系统。
国内N多大学在用。。。
1、精品课程系统存在SQL注入,可直接获取系统用户名密码。


2、系统后台编辑器处存在上传漏洞,本地JS验证。不过大部分这个系统的服务器都取消上传目录的CGI执行权限了。。。。
3、新建课程中的选择课程上传路径处存在漏洞,可浏览全部盘符内容(如果有权限的话,好多都有。。。)


4、最重大的漏洞。。。
在新建课程中的上传路径直接选择一个WEB路径下的可执行目录,然后新建一个课程文件夹。
下载课程制作软件,网站上一般就有提供。安装时候会需要SN,网站上也提供了。。。。


安装完成后选择刚刚新建的课程,然后随便制作个课件,进行课件合成


在同步到服务器前将马儿放在本地课程目录,然后进行同步,同步到服务器,shell到手。。。。



测试了好几个,只要md5能解出来,进后台就能拿shell,服务器权限给的也都比较大,拿administrator不费事。。。
google:
inurl:Announcement.asp?AnnounceId= intext:课程申请
好多页的结果。。。

漏洞证明:



修复方案:

1、代码过滤非法字符
2、后台编辑器处上传进行服务器白名单验证
3、新建课程的上传路径浏览只允许在课程目录内浏览,并对新建文件夹的名称进行过滤
4、不要在网站上公开应用程序的SN码,如果SN码不对是无法上传课件的
5、对客户端上传的课件格式进行有效过滤
6、后台密码使用复杂口令 最后查不出来md5的。。

版权声明:转载请注明来源 LinuxPad@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:17 (WooYun评价)


漏洞评价:

评论

  1. 2012-04-22 11:39 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    厂商v5,秒忽

  2. 2012-04-22 16:31 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    秒略~

  3. 2012-04-22 16:36 | LinuxPad ( 实习白帽子 | Rank:34 漏洞数:1 | LinuxPad@AdLab.Venus)

    擦 忽略了 忽略了 。。。 昨天一会就用这个拿了三个administrator 这么多大学 这。。。。。

  4. 2012-07-29 13:13 | 小屁孩 ( 实习白帽子 | Rank:47 漏洞数:11 | 把付出养成习惯,你将收获成功)

    厂家积极忽略。

  5. 2012-08-01 03:13 | QQ852451559 ( 实习白帽子 | Rank:79 漏洞数:18 | 学生党)

    秒 忽忽 了了。。厂家v5

  6. 2013-05-11 19:09 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    这个系统好多洞.. 我记得前几年的时候 整天搜这个...照片处的注入...