当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-069289

漏洞标题:某用户量特别大的数字校园系统一处奇葩漏洞直接爆管理员密码

相关厂商:cncert国家互联网应急中心

漏洞作者:

提交时间:2014-07-22 15:28

修复时间:2014-10-20 15:30

公开时间:2014-10-20 15:30

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-22: 细节已通知厂商并且等待厂商处理中
2014-07-27: 厂商已经确认,细节仅向厂商公开
2014-07-30: 细节向第三方安全合作伙伴开放
2014-09-20: 细节向核心白帽子及相关领域专家公开
2014-09-30: 细节向普通白帽子公开
2014-10-10: 细节向实习白帽子公开
2014-10-20: 细节向公众公开

简要描述:

面对开发的机智..
此刻我流下了感动的泪水..
用户量特别庞大,如果还小厂商..

详细说明:

提供四个 goole and 百度关键词,这里需要说明的是,我也不清楚到底算是哪个公司开发的,因为系统都一样,百度了一下都有相关信息,
这里就需要cncert帮忙判断核实一下了,也可能三家都是同一家公司。

1.inurl:News/news_list.jsp (以这个居多)
2.版权所有:重庆顺章科技有限公司 服务电话:023-65102281
3.版权所有:上海瑞聪网络科技有限公司 服务电话:021-34611283
4.技术支持:无锡尚蠡信息科技有限公司


直接上案例吧(中小学,幼儿园都有)
默认登录页面为*/admin

http://www.dctrain.cn/get_pwd.jsp (重庆顺章科技有限公司 官网)
http://www.wxsl.net/get_pwd.jsp (无锡尚蠡信息科技有限公司 官网)
http://www.rcwl.net/get_pwd.jsp (上海瑞聪网络科技有限公司 官网)
http://oa.xndxfz.com/get_pwd.jsp
http://oa.bsyey.com/get_pwd.jsp
http://oa.dhssx.com/get_pwd.jsp
http://oa.bashu.com.cn/get_pwd.jsp
http://www.cqxjwxx.com.cn/get_pwd.jsp
http://ltzx.zhedu.net.cn/get_pwd.jsp
http://www.wxzzyey.com/get_pwd.jsp
http://ww1980.cqjjzx.com/get_pwd.jsp
http://zqzx.mhedu.sh.cn/get_pwd.jsp
http://www.czlcxx.com/get_pwd.jsp
http://mhzx.mhedu.sh.cn/get_pwd.jsp
http://www.cqjjzx.com/get_pwd.jsp
http://www.whjksyxx.com/get_pwd.jsp
http://218.4.82.234/get_pwd.jsp
http://www.thgz.net/get_pwd.jsp
http://www.trxx.fxedu.cn/get_pwd.jsp
http://www.jsgyve.com/get_pwd.jsp
http://www.cqyc.com/get_pwd.jsp
http://jsshrzx.com:8987/get_pwd.jsp
http://ptsunshine.cn/get_pwd.jsp
http://www.nths.cn/get_pwd.jsp
http://www.slyey.cn:89/slyey/get_pwd.jsp
http://www.ysx.net.cn/get_pwd.jsp
http://mqxx.mhedu.sh.cn/get_pwd.jsp
http://58.214.27.195/get_pwd.jsp
http://www.sx-school.net/get_pwd.jsp
http://bj50f.com:8080/get_pwd.jsp
http://222.191.250.185/get_pwd.jsp
http://www.xishan.net/get_pwd.jsp
http://www.zcbgxx.net:81/get_pwd.jsp
http://222.190.122.226:2080/get_pwd.jsp
http://tk.cqbxzx.com/get_pwd.jsp
http://219.153.125.109/get_pwd.jsp
http://www.bndjw.com/get_pwd.jsp
等等......

漏洞证明:

从我提供的案例中可以看出,出现问题的是找回密码的页面。
如:http://www.wxzzyey.com/wxzzyey/get_pwd.jsp 无锡市震泽实验幼儿园

q1.jpg

q2.jpg


我们输入要找回的用户名后,会自动发起一次请求,然后回显姓名,但是奇葩的是..看一下这个请求..

q4.jpg

密码加密后的MD5直接输入了,解密一下测试。

q5.jpg

然后在http://www.wxzzyey.com/admin 输入管理员密码登录的时候,发现管理员在登录状态,那这个就不登录不打草惊蛇了

q6.jpg


再示例2个:
http://www.slyey.cn:89/slyey/get_pwd.jsp 无锡市胜利幼儿园

q7.jpg


输入密码登录后有时候会提示您访问的页面不存在

q13.jpg


不过没关系,转到主页访问就可以看到已经以管理员身份登录了

q9.jpg

q10.jpg

q11.jpg


http://www.thgz.net/webschool/get_pwd.jsp 江苏省太湖高级中学

q8.jpg

q14.jpg

q16.jpg

转到主页访问

q17.jpg

q20.jpg

修复方案:

以上详细说明的案例都存在该漏洞,通杀,虽然有些是付费密文,不过MD5基本都能在CMD5查询出
还有这就是之前说的..分不清是哪个厂商,百度了一下,连这三个官网都存在该漏洞

q18.jpg

q21.jpg

q22.jpg

版权声明:转载请注明来源 @乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-07-27 09:58

厂商回复:

最新状态:

2014-07-28:补充一下处置情况,目前只能先行确认,还不能直接确认软件生产厂商。

漏洞评价:

评论

  1. 2014-07-22 15:31 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @xsser @疯狗 @Finger 无语了 这个用户量这么多还是小厂商?

  2. 2014-07-22 15:47 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    审核总算听到我的声音了 ..

  3. 2014-07-22 16:04 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    无语了~刷那么多rank也不让我刷一下,我的不管怎么的都是小厂商

  4. 2014-07-22 16:30 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @U神 最近新来了审核小伙伴,审核有差异,据说已经准备制定评估标准了,你有啥好意见可以告诉疯狗

  5. 2014-07-22 17:28 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @魇 @疯狗 已证明用户量特别大、漏洞属于危害大的

  6. 2014-07-22 17:55 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    你持积极态度哦

  7. 2014-07-22 17:56 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @超威蓝猫 打你哦 这又是什么梗

  8. 2014-07-22 18:35 | 妇科圣手 ( 路人 | Rank:0 漏洞数:1 | 苦逼程序员)

    新xx?

  9. 2014-07-22 18:35 | 瓦解° ( 路人 | Rank:12 漏洞数:5 | web渗透学习小菜一枚。)

    请教各位前辈,厂商给我确认的是13Rank,为什么乌云只给我4Rank呢?

  10. 2014-07-22 18:44 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @瓦解° 小厂商无疑

  11. 2014-07-22 19:21 | 瓦解° ( 路人 | Rank:12 漏洞数:5 | web渗透学习小菜一枚。)

    @′ 雨。 国家互联网应急响应中心评的13Rank,是某政府站的,但是乌云就给我4Rank。。

  12. 2014-07-22 19:25 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @瓦解° 正常 没上首页的都这样 要淡定

  13. 2014-07-22 19:29 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @瓦解° 乌云分大厂商/小厂商流程,大厂商就是前台可见,厂商给你多少RANK,你就拿多少RANK,小厂商是 高危 4RANK 中危 2RANK 低危 1RANK

  14. 2014-07-22 23:14 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    @魇 你吃jj太多

  15. 2014-07-23 00:44 | 瓦解° ( 路人 | Rank:12 漏洞数:5 | web渗透学习小菜一枚。)

    @魇 谢谢前辈给的讲解~

  16. 2014-07-23 08:14 | 果冻好吃 ( 路人 | Rank:22 漏洞数:11 | 大学通知书下来那天,我迫不及待的用四百块...)

    我似乎看见了很多学校沉浸在痛苦之中!

  17. 2014-07-27 21:16 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    @疯狗 找了好几个帖子 终于找到你了 求 私信一个邀请码

  18. 2014-10-20 16:55 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    这程序猿可以开除了

  19. 2014-10-21 11:29 | 博丽灵梦 ( 路人 | Rank:13 漏洞数:7 | = =cf)

    醉了