当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017474

漏洞标题:正方高校现代管理系统任意修改成绩查看照片漏洞

相关厂商:杭州正方软件股份有限公司

漏洞作者: 00shenxian00

提交时间:2013-01-18 10:40

修复时间:2013-03-04 10:40

公开时间:2013-03-04 10:40

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-01-18: 细节已通知厂商并且等待厂商处理中
2013-01-22: 厂商已经确认,细节仅向厂商公开
2013-02-01: 细节向核心白帽子及相关领域专家公开
2013-02-11: 细节向普通白帽子公开
2013-02-21: 细节向实习白帽子公开
2013-03-04: 细节向公众公开

简要描述:

还是传说中1000所高校用的正方高校现代管理系统

详细说明:

一般院校都有一个可以查到学号工号的地方,例如:
信息门户-好友系统

1.jpg


有的学校没有这个信息门户,或者信息门户只对教师开放,那么还有一个在线教学平台可以查到哦~
具体位置自己找吧。
先输入你老师的名字,找到其工号……
然后到高校现代管理系统(这里可能会有两个地址,一个是评教系统,没什么用,另一个可以选择登陆身份的就是我们要进的系统了)
当然是弱密码~经测试80%的高校都没让老师们修改弱密码!大学老师啊!!
输入工号(密码相同)。

2.jpg


3.jpg


先说查看照片。
信息查询----学生信息里面有个查询照片的地方,不过经测试不好用,可能有的学校会好用吧,不过我们还有其他的方法。
切换到“部门”模式。(前提是用校领导的工号登陆)

4.jpg


教师授课学生名单查询---学生照片---输出打印。

5.jpg


审查元素--把xh=xxxxxxxxx改成你要查看的学生的学号(学号还是可以从好友系统里查到)

6.jpg


锵锵锵锵~看到妹子照片了吧~
这只是小菜,然后我要说的是修改成绩。
考前修改就不说了……别干这傻事。
考后,教师录入完成绩之后,提交按钮会变成不可用。
还是审查元素,去掉disable就可以了,先保存,后提交。

漏洞证明:

看成绩,你能看出哪里不对么,哈哈!

7.jpg

修复方案:

换系统……用正方,穿裤裆。

版权声明:转载请注明来源 00shenxian00@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2013-01-22 10:13

厂商回复:

CNVD根据图片确认漏洞,将直接协调正方公司进行处置。
rank=6

最新状态:

暂无


漏洞评价:

评论

  1. 2013-01-18 11:01 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    这个,我猜的话貌似跟以前那个道理差不多吧,正方全部高校的数据库用户名和密码是一样的,oracle数据库,直接连进去修改成绩,搞定,至于查看任意妹纸照片嘛~Viewimg.aspx?ID=妹纸?

  2. 2013-01-18 11:15 | 00shenxian00 ( 路人 | Rank:22 漏洞数:2 | hello~)

    @小胖子 Viewimg.aspx?ID=妹纸 不好使了哦……得用领导的登陆才行,并且直接打上网址会出来一堆乱码,只试过审查元素好用~成绩修改嘛,应该是一个原理的,,,

  3. 2013-01-18 12:57 | adsltsee ( 路人 | Rank:5 漏洞数:1 | 这个家伙很懒,什么也没留下...)

    这个要关注!

  4. 2013-03-04 12:15 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    @00shenxian00 那堆乱码就是图片。。。。你吧图片用txt打开看看。