漏洞概要
关注数(24)
关注此漏洞
漏洞标题:某省教育厅某下属网站漏洞合集,可修改上报教育部就业率,千万大学生数万就业单位个人信息泄露
提交时间:2013-05-31 10:51
修复时间:2013-07-15 10:51
公开时间:2013-07-15 10:51
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2013-05-31: 细节已通知厂商并且等待厂商处理中
2013-06-02: 厂商已经确认,细节仅向厂商公开
2013-06-12: 细节向核心白帽子及相关领域专家公开
2013-06-22: 细节向普通白帽子公开
2013-07-02: 细节向实习白帽子公开
2013-07-15: 细节向公众公开
简要描述:
某省教育厅下属某网站存在多个漏洞,可修改上报教育部的就业率,获取千万大学生和数十万就业单位账号密码及资料,修改招聘会,修改offer,短信轰炸,邮件轰炸,挂马等等:只有想不到,没有做不到
详细说明:
问题网站是浙江省教育厅下属的网上就业市场www.ejobmart.cn,大概有jboss控制台泄露、sqli、xss问题
首先是一个jboss console的问题
http://www.ejobmart.cn/jmx-console/
http://www.ejobmart.cn/web-console/
但是从这个console不能拿到shell,msf利用失败。虽然这样还是获得了一个关键信息:管理后台的地址
随后结合这两个注入点:
和
然后通过猜解数据库和表结构,确定管理员表为EJ**HOME中的ADMIN****. 将数据dump下来,获得几个admin账号及各校就业处工作站的账号
用一个账号登陆后台,功能还是很多的
上报教育厅和教育部的地方:
查询任意大学生信息
各校工作站账号可在管理员控制界面操作,将学生信息导出成xls
公司信息、offer信息、短信后台
注意公司信息里面是可以得到md5后的hash,可用来猜解密码。
邮件平台可附带附件挂马,就不截图了。
最后还有几个xss问题例子:
1. 留言板存储型xss
2. 个人简历处存储型xss,可插入联系方式等地方,可以拿来打用人单位和管理员,拿敝校妹子做个示范
漏洞证明:
修复方案:
给jmx-console加访问控制,管理员用强密码
另外代码需要重新review,sqli和xss不少,或者干脆用waf
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2013-06-02 22:54
厂商回复:
CNVD确认并复现所述情况(XSS盲打一般不直接复现),转由CNCERT下发浙江分中心,由浙江分中心后续协调网站管理单位处置。
按多个漏洞进行评分,rank=2+10+6
最新状态:
暂无
漏洞评价:
评论