当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-061048

漏洞标题:某成绩查询分析系统越权+信息泄露(明文用户名、密码等)+添加管理员

相关厂商:北京佳通联创教育软件有限公司

漏洞作者: xfkxfk

提交时间:2014-05-16 18:35

修复时间:2014-08-14 18:36

公开时间:2014-08-14 18:36

漏洞类型:非授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-16: 细节已通知厂商并且等待厂商处理中
2014-05-21: 厂商已经确认,细节仅向厂商公开
2014-05-24: 细节向第三方安全合作伙伴开放
2014-07-15: 细节向核心白帽子及相关领域专家公开
2014-07-25: 细节向普通白帽子公开
2014-08-04: 细节向实习白帽子公开
2014-08-14: 细节向公众公开

简要描述:

妈妈再也不用担心我的学习~~

详细说明:

北京佳通联创教育软件有限公司
http://www.jtlcsoft.com
产品演示中心:http://www.jtlcsoft.com/bs2.asp?f=804

1.png


学生成绩查询与分析系统 v.15
拿北师大三附成绩分析系统:http://58.118.36.16/

2.png

漏洞证明:

越权操作+信息泄露


本来学生管理,教师管理是在管理员权限下才可进行的。
学生管理和教师管理里面有学生信息导出和教师信息导出功能。
可以导出所有学生和教师的信息,包括学号,准考证号,班级,姓名,用户名,密码等信息。
但是在导出这些信息是没有做权限控制,导致无需登录即可越权下载这些信息。
学生信息:http://58.118.36.16/download/1/student.xls

3.png


4.png


教师信息:http://58.118.36.16/download/1/teacher.xls

5.png


6.png


越权添加管理员


1、添加管理员组:
下面为管理员组的所有功能模块,这里我们全选:
http://58.118.36.16/admin/addpowergroup.aspx

7.png


无需登录即可添加管理员组:

8.png


返回的此权限组的id为10,几下下面使用
2、然后添加我们下载的其中一个教师或者学生为此组的权限所有者
这里我们选择caitao教师,他的id为64

9.png


这里请求的id为权限组的id=10,p为所有者的p=64
然后看看caitao老是的权限:

10.png


看到这里除了教师本身所有的功能权限为右上角有了管理员所有的权限。
然后想干什么都行了。。。

修复方案:

1、控制权限
2、信息加密

版权声明:转载请注明来源 xfkxfk@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-05-21 14:56

厂商回复:

CNVD确认并复现所述多个案例情况,由于涉及中小学暂无联系渠道,已经由CNVD直接转发给北京佳通联创教育软件有限公司 田总(QQ邮箱)。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-05-16 22:26 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    来围观X月最撸力洞主

  2. 2014-05-30 14:34 | CplusHua ( 普通白帽子 | Rank:238 漏洞数:33 | 乌云奖金:-1)

    中小学生。。。也不放过。。

  3. 2014-05-30 14:43 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    @CplusHua 安全从娃娃抓起

  4. 2014-06-10 19:10 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    田总(QQ邮箱)