THEOL教学平台某处设计不当可批量获取师生敏感信息（实例涉及全国各大高校）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-064906

漏洞标题：THEOL教学平台某处设计不当可批量获取师生敏感信息（实例涉及全国各大高校）

漏洞作者：魇

提交时间：2014-06-16 14:14

修复时间：2014-09-14 14:16

公开时间：2014-09-14 14:16

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-16：细节已通知厂商并且等待厂商处理中
2014-06-21：厂商已经确认，细节仅向厂商公开
2014-06-24：细节向第三方安全合作伙伴开放
2014-08-15：细节向核心白帽子及相关领域专家公开
2014-08-25：细节向普通白帽子公开
2014-09-04：细节向实习白帽子公开
2014-09-14：细节向公众公开

简要描述：

多用于选修课，提交作业，课程观摩等等..
多数帐号与学号对接，忘记密码重置都需要到使用学校教务处报备
还在上学或者离校的朋友们小心了..该平台所涉及学校较为庞大（上百？呵..）
对于黑产而言，鼠标轻轻一动，喝杯茶的功夫，一会儿数万师生信息到手一会儿数万师生信息又到手又...又...咳

详细说明：

官网：http://tnet1.theti.org/evaluate/index.do 清华大学教育技术研究所
产品：网络教学综合平台
以普通学生账户登录该系统后，默认会跳转个人首页在修改个人信息获取到的GET请求中未效验好用户操作的合法性，导致用户信息遍历
由于所涉甚广，这里仅提供十个百度搜索引擎较为靠前的高校普通学生帐号仅供cncert国家互联网应急中心测试其通用型
http://online.ncu.edu.cn/eol/homepage/common/ 南昌大学帐号：100888:123456
http://pt.csust.edu.cn/eol/homepage/common/ 长沙理工大学帐号：201115020114:123456 ，201115020115:123456
http://eol.kmust.edu.cn/eol/homepage/common/ 昆明理工大学帐号：123456:123456
http://jxpt.cuit.edu.cn/eol/homepage/common/ 成都信息工程学院帐号：123456:123456
http://met2.fzu.edu.cn/eol/homepage/common/ 福州大学帐号：111100204：111100204
http://eol.cqu.edu.cn/eol/homepage/common/ 重庆大学帐号：20071184：123456 ，20071112：123456
http://eol.shzu.edu.cn/eol/homepage/common 新疆石河子大学帐号：2013511141：123456 ，2013511068 ：123456
http://jx.gznu.edu.cn/eol/homepage/common/ 贵州师范大学帐号：100004：000000
http://eol.mju.edu.cn/eol/homepage/common/ 闽江学院帐号：102101：888888 ，101062：888888
http://e-learning.hznu.edu.cn/eol/homepage/common 杭州师范大学帐号：2013212792：2013212792
说下上述口令是如何获取的吧，为了学生登录方便普遍学校在该平台的通知公告处都会告知登录格式，如用户名=学号，默认密码为：123456，默认密码为学号，初始密码为身份证后6位之类的，而且登陆处无验证，无尝试限制，无IP限制，更为我们的爆破提供了方便

知道了用户名的生成规律，如果一个学校数万学生还破解不到一个弱口令，那不如回家种田了
善用搜索，学号的获取更为简单，这里我直接到该校贴吧，利用百度的站内搜索，搜索关键字学号
你会发现，会有一堆我的学生证掉了，学号是XXX..或者曝学号之类的无聊之举

象这位同学，帐号密码都是学生证号，直接登录..
http://pt.csust.edu.cn/eol/homepage/common/ 长沙理工大学示例

点击修改信息抓包

http://pt.csust.edu.cn/eol/popups/viewstudent_info.jsp?SID=99086&from=welcomepage

（不止学生的，还有教师的信息）

burpsuite对长沙理工大学从SID1到10万进行遍历测试，存在的师生信息数为89295

没有导出任何信息，只简单统计了一下,上百所学校在用，该有多少信息？

漏洞证明：

虽然只是很普通的信息遍历，但是涉及较多，蚁多了还能咬死象呢..不知道能否换个精华？
谷歌或者百度搜索 intitle:欢迎进入网络教学综合平台可见案例
由于搜索引擎受限仅列举以下使用该平台学校:
http://eol.cqu.edu.cn/eol/homepage/common/
http://online.ncu.edu.cn/eol/homepage/common/
http://eol.mju.edu.cn/eol/homepage/common/
http://pt.csust.edu.cn/eol/homepage/common/
http://eol.wyu.edu.cn/eol/homepage/common/
http://e.njutcm.edu.cn/eol/homepage/common/
http://222.16.42.161/eol/homepage/common/
http://eol.bift.edu.cn/eol/homepage/common/
http://eol.qhu.edu.cn/eol/homepage/common/
http://222.209.223.71:1000/eol/homepage/common/
http://eol.shzu.edu.cn/eol/homepage/common/
http://edu.xju.edu.cn/eol/homepage/common/
http://211.64.120.108/eol/homepage/common/
http://etc.sdut.edu.cn/eol/homepage/common/
http://wljx.sdupsl.edu.cn/eol/homepage/common/
http://www.eol.sdu.edu.cn/eol/homepage/common/
http://eol.xmut.edu.cn/eol/homepage/common/
http://kcxt.cdu.edu.cn/eol/homepage/common/
http://xxpt.ynjgy.com/eol/homepage/common/
http://eol.cdnu.edu.cn/eol/homepage/common/
http://webschool.qdu.edu.cn/eol/homepage/common/
http://jxpt.sdzy.cn/eol/homepage/common/
http://jxpt.fafu.edu.cn/eol/homepage/common/
http://jxpt.cuit.edu.cn/eol/homepage/common/index_jpk.jsp
http://wjpt.nit.jx.cn/eol/homepage/common/
http://www.netclass.gsipc.cn/eol/homepage/common/
http://202.113.88.17/eol/homepage/common/
http://learn.djtu.edu.cn/eol/homepage/common/
http://xxpt.ynjgy.com/eol/homepage/common/
http://jxpt.zfc.edu.cn/eol/homepage/common/
http://sjpkc.bzmc.edu.cn/eol/homepage/common/index_jpk.jsp
http://lzuces.lzu.edu.cn/eol/homepage/common/
http://et.lnutcm.edu.cn/eol/homepage/common/
http://wljx.gsau.edu.cn/eol/homepage/common/
http://eclass.tyust.edu.cn/eol/homepage/common/
http://jxpt.czmc.com:81/eol/homepage/common/
http://211.86.128.140/eol/homepage/common/
http://kczx.xjei.cn/eol/homepage/common/
http://cc.ustb.edu.cn/eol/homepage/common/index_jpk.jsp
http://jxpt.cuit.edu.cn/eol/homepage/common/
http://eol.czu.edu.cn/eol/homepage/common/
http://www.nmgjdxy.com:81/eol/homepage/common/index_jpk.jsp
http://eol.cfau.edu.cn/eol/homepage/common/index_jpk.jsp?_style=cfau
http://www.nmgjdxy.com:81/eol/homepage/common/index_jpk.jsp
http://60.6.238.19/eol/homepage/common/index_dept.jsp?deptId=10146
http://202.201.112.11/eol/homepage/common/
http://59.75.1.10/eol/homepage/common/
http://218.64.56.27/eol/homepage/common/index_jpk.jsp
http://202.195.144.177/eol/homepage/common/index.jsp
http://wljx.hxu.edu.cn/eol/homepage/common/
http://59.46.59.29/eol/homepage/common/
http://jx.cau.edu.cn/eol/homepage/common/
http://course.pkuschool.edu.cn/eol/homepage/common/
http://jpkc.bhcy.cn/eol/homepage/common/index_jpk.jsp
http://221.203.119.131:82/eol/homepage/common/
http://116.252.254.221:8024/eol/homepage/common/index.jsp
http://202.98.20.177/eol/homepage/common/
http://202.202.111.134/eol/homepage/common/index.jsp
http://kcw.lszjy.com/eol/homepage/common/
http://202.201.1.71/eol/homepage/common/
http://eol.xatzy.cn/eol/homepage/common/
http://eol.pjzy.net.cn/eol/homepage/common/
http://eol.sdyu.edu.cn/eol/homepage/common/
http://moocs.imu.edu.cn/eol/homepage/common/index.jsp
http://220.178.35.234/eol/homepage/common/
http://jpk.neuq.edu.cn/eol/homepage/common/
http://jxpt.git.edu.cn/eol/homepage/common/
http://202.101.92.21:88/eol/homepage/common/index.jsp
http://nt.btmc.cn/eol/homepage/common/index.jsp
http://222.179.234.149/eol/homepage/common/index_jpk.jsp
http://eol.siit.edu.cn:85/eol/homepage/common/index.jsp
http://jpkc.sdpei.edu.cn/eol/homepage/common/
http://222.16.42.161/eol/homepage/common/index.jsp
http://eol.scuec.edu.cn/eol/homepage/common/index.jsp
http://wlkc.zbnc.edu.cn/eol/homepage/common/
http://124.93.223.98/eol/homepage/common/
http://eol.byxy.com/eol/homepage/common/
http://jpk.dky.bjedu.cn/eol/homepage/common/index.jsp
http://218.65.14.244/eol/homepage/common/index.jsp
http://218.65.14.244/eol/homepage/common/index.jsp
http://210.34.96.42/eol/homepage/common/index.jsp
http://124.119.50.220:81/eol/homepage/common/index.jsp
http://wljx.hsnc.edu.cn/eol/homepage/common/index.jsp
http://61.153.34.35:1180/eol/homepage/common/index.jsp
http://202.201.106.182/eol/homepage/common/index.jsp
http://124.207.34.123/eol/homepage/common/
http://course.bua.edu.cn/eol/homepage/common/index.jsp
http://eol.scce.edu.cn/eol/homepage/common/index.jsp
http://www.qhzx.gxnu.edu.cn/eol/homepage/common/index.jsp
http://elearning.heuu.edu.cn/eol/homepage/common/index.jsp
http://course.xmu.edu.cn/meol/homepage/common/index.jsp
http://jx.gznu.edu.cn/eol/homepage/common/index.jsp

修复方案：

涉及有点多，慢慢来吧

版权声明：转载请注明来源魇@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-06-21 12:46

厂商回复：

CNVD确认并选择复现若干实例情况，确认通用性，已经由CNVD联系软件生产厂商，电话至，将通报发送至清华教育技术研究所lwxeixin （李老师）邮箱中处置。按信息泄露风险，rank 20

漏洞评价：

2014-06-16 14:32 | 魇 ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子，但是除了他华...)

@xsser @疯狗涉及这么多的学校，求雷劈
2014-06-16 14:33 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

鼠标轻轻一动，喝杯茶的功夫，一会儿数万师生信息到手一会儿数万师生信息又到手又...又...咳。。。。
2014-06-16 14:34 | 魇 ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子，但是除了他华...)

@寂寞的瘦子咳咳蛮多学校用的..
2014-06-16 14:43 | nextdoor ( 普通白帽子 | Rank:325 漏洞数:74 )

我的审核没通过，不知道和你的是不是同一个漏洞
2014-06-16 14:45 | 魇 ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子，但是除了他华...)

@nextdoor 不大清楚，没通过应该会给没通过的原因吧，我这个是13号提交的
2014-06-16 14:56 | Paladin1412 ( 实习白帽子 | Rank:34 漏洞数:17 | 登上九重宝塔，君临天下。。。)

洞主这么叼，我们学校就在用，之前搞了好久都没找出来。。。
2014-06-16 15:07 | 1fn0 ( 路人 | Rank:21 漏洞数:7 | 我是运维不要开除我)

为毛我提交的theol xss就不给我过审
2014-06-16 18:16 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

兄台，哪个学校的？
2014-06-16 18:22 | 魇 ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子，但是除了他华...)

@动后河全国各地..
2014-06-16 23:39 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

@魇我想问的是，兄台是哪个学校的？对theol我早已...http://202.201.112.11/ 北方民族大学 http://eol.bift.edu.cn/ 北京服装学院 http://course.buct.edu.cn/ 北京化工大学 http://elearning.bit.edu.cn/ 北京理工大学 http://eol.bnuz.edu.cn/ 北京师范大学珠海分校http://kcxt.cdu.edu.cn/ 成都大学 http://eol.cdnu.edu.cn/ 成都师范学院 http://jxpt.cuit.edu.cn/ 成都信息工程学院 http://learn.djtu.edu.cn/ 大连交通大学 http://jwc.neau.edu.cn/ 东北农业大学 http://eol.ecit.cn/ 东华理工大学 http://jxpt.fafu.edu.cn/ 福建农林大学 http://met2.fzu.edu.cn/ 福州大学 http://wljx.gsau.edu.cn/ 甘肃农业大学 http://58.16.50.138/ 贵州理工学院 http://jxpt.hainu.edu.cn/ 海南大学 http://wljx.hdu.edu.cn/ 杭州电子科技大学 http://e-learning.hznu.edu.cn/ 杭州师范大学 http://210.31.198.78/ 河北联合大学 http://222.218.130.76/ 河池学院 http://222.16.42.161/ 华南理工大学 http://202.116.160.122/ 华南农业大学 http://teach.hnnu.edu.cn/ 淮南师范学院 http://phxqjx.zjxu.edu.cn/ 嘉兴学院平湖校区 http://202.195.144.177/ 江南大学 http://sun480.lstc.edu.cn:9090/ 乐山师范学院 http://kcw.lszjy.com/ 丽水职业技术学院 http://eol.mju.edu.cn/ 闽江学院 http://online.ncu.edu.cn/ 南昌大学 http://wjpt.nit.jx.cn/ 南昌工程学院 http://e.njutcm.edu.cn/ 南京中医药大学 http://222.30.60.9/ 南开大学 http://eol.imut.edu.cn/ 内蒙古工业大学 http://eol.hgzyxy.com/ 内蒙古化工职业学院 http://webschool.qdu.edu.cn/ 青岛大学 http://eol.qhu.edu.cn/ 青海大学 http://eol.xmut.edu.cn/ 厦门理工学院 http://211.64.120.108/ 山东交通学院 http://jxpt.sdzy.cn/ 山东科技职业学院 http://etc.sdut.edu.cn/ 山东理工大学 http://wljx.sdupsl.edu.cn/ 山东政法学院 http://210.30.208.205/ 沈阳师范大学 http://eol.shzu.edu.cn/ 石河子大学 http://219.224.69.105/ 首都经济贸易大学 http://shiyanshi.tk/ 天津城建大学 http://e-learning.wzu.edu.cn/ 温州大学 http://edu.xju.edu.cn/ 新疆大学 http://60.6.238.19/ 邢台学院 http://eol.ynufe.edu.cn/ 云南财经大学 http://pt.csust.edu.cn/ 长沙理工大学 http://wljx.zjut.edu.cn/homepage/common/ 浙江工业大学 http://jxpt.zfc.edu.cn/ 浙江金融职业学院 http://jxpt.cuc.edu.cn/ 中国传媒大学 http://ecourse.ciir.edu.cn/ 中国劳动关系学院 http://eol.muc.edu.cn/ 中央民族大学 http://eol.cqu.edu.cn/ 重庆大学 http://eol.ctbu.edu.cn/ 重庆工商大学
2014-06-17 00:58 | 魇 ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子，但是除了他华...)

@动后河我都不是这些学校的，只是偶然测试了下，可怕你案例都搜集了么
2014-06-17 01:21 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

@魇发出来给你的洞增加点底气，这些是能搜索到的大部分了
2014-06-17 13:18 | 1fn0 ( 路人 | Rank:21 漏洞数:7 | 我是运维不要开除我)

@动后河还有昆明理工大学
2014-06-21 10:03 | 魇 ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子，但是除了他华...)

@cncert国家互联网应急中心来确认了，不然又忽略了
2014-06-21 12:59 | 夏殇 ( 路人 | Rank:30 漏洞数:21 | 不忘初心，方得始终。)

这平台很多洞啊。前不久挖了xss
2015-01-16 15:27 | sin ( 实习白帽子 | Rank:38 漏洞数:2 | 寻找最优雅的解决方案)

@魇其实有更简单的方法。且无视字母加数字账号。直接威胁教务系统。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-064906

漏洞标题：THEOL教学平台某处设计不当可批量获取师生敏感信息（实例涉及全国各大高校）

相关厂商：THEOL教学平台

漏洞作者：魇

提交时间：2014-06-16 14:14

修复时间：2014-09-14 14:16

公开时间：2014-09-14 14:16

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源魇@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-064906

漏洞标题：THEOL教学平台某处设计不当可批量获取师生敏感信息（实例涉及全国各大高校）

相关厂商：THEOL教学平台

漏洞作者： 魇

提交时间：2014-06-16 14:14

修复时间：2014-09-14 14:16

公开时间：2014-09-14 14:16

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-064906"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 魇@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：魇

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源魇@乌云