漏洞概要
关注数(24)
关注此漏洞
漏洞标题:暨南大学教务处系统配置漏洞导致getshell
提交时间:2014-04-14 17:27
修复时间:2014-05-29 17:28
公开时间:2014-05-29 17:28
漏洞类型:重要敏感信息泄露
危害等级:中
自评Rank:6
漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理
Tags标签:
无
漏洞详情
披露状态:
2014-04-14: 细节已通知厂商并且等待厂商处理中
2014-04-16: 厂商已经确认,细节仅向厂商公开
2014-04-26: 细节向核心白帽子及相关领域专家公开
2014-05-06: 细节向普通白帽子公开
2014-05-16: 细节向实习白帽子公开
2014-05-29: 细节向公众公开
简要描述:
通过注入漏洞获取到帐号以及通过加密后的密码,网站测试时没有删掉测试文件,访问这些文件可以从网上找到相关加密算法,通过这些资料可以把密文转回明文。进入服务器后可以获得大量学生个人信息
详细说明:
SQL注入就不说了
从网上找到了相关的加密算法
从此算法可以得出字符对照表
(此资料可参照"饭团尔想迩"的博客)
1_____6EBB
2_____5C1F
3_____4D75
4_____26CC
5_____4F88
6_____3F4E
7_____0A9D
8_____1A1C
9_____6D20
0_____1089
a_____0F3E
b_____3159
c_____3517
d_____419C
e_____615C
f_____556F
g_____2B7F
h_____0F9C
i_____00FA
j_____5A50
k_____2850
l_____3E7B
m_____71C5
n_____1FC8
o_____74C1
p_____5FB8
q_____6085
r_____3AC4
s_____2F50
t_____36F8
u_____7010
v_____0B42
w_____1C7A
x_____16F8
y_____2EE7
z_____5CF3
!_____6233
@_____3A45
#_____2291
$_____5D5C
%_____09B9
^_____43EA
&_____62B9
*_____6301
(_____4659
)_____5C82
服务器上面存在大量学生个人信息,可找到身份证等信息
漏洞证明:
上传一句话木马
http://202.116.0.173/DownloadMore.asp?DownloadClassID=4
此页面可进行注入
修复方案:
先修补该SQL注入漏洞吧.....加密算法换成别的
版权声明:转载请注明来源 Gump@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2014-04-16 11:33
厂商回复:
正在通知相关学校处理
最新状态:
暂无
漏洞评价:
评论