当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-070708

漏洞标题:学而思(好未来)集团网上核心系统最高权限可被获取(涵盖38个市的业务系统、3个管理系统)

相关厂商:xueersi.com

漏洞作者: Coffee

提交时间:2014-08-13 11:12

修复时间:2014-09-27 11:14

公开时间:2014-09-27 11:14

漏洞类型:网络设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-08-13: 细节已通知厂商并且等待厂商处理中
2014-08-13: 厂商已经确认,细节仅向厂商公开
2014-08-23: 细节向核心白帽子及相关领域专家公开
2014-09-02: 细节向普通白帽子公开
2014-09-12: 细节向实习白帽子公开
2014-09-27: 细节向公众公开

简要描述:

由某处功能缺陷导致该系统的最高管理权限被获取,可控制38个市的业务系统、3个管理系统。

详细说明:

#1、收集信息
发现员工登录页面:http://zhiyinlou.com/Cas/login

登录界面.jpg


得到管理员用户名:qx@xueersi.com

信息收集.jpg


#2、找回密码处的功能缺陷
找回步骤的参数直接放在url中,且未经过任何校验,直接修改为step3,可导致跳过验证身份,直接重置密码。

找回密码1.jpg


管理员qx@xueersi.com的密码重置为test123。

找回密码3.jpg


#3、成功登录
管理员的权限可以控制38个市的培优业务系统和3个管理系统(新BI系统、网校学习卡系统、CRM管理系统)。

所有权限.jpg


在培优业务系统中可对该市学而思集团的班级、教师、财务、优惠、单证、家校、评价、经验值、试题、权限、讲义、学员进行管理,可修改学员、教师、财务等数据,并泄漏大量培训资料。

后台功能.jpg


实际测试过程中,系统要求安装插件,绑定MAC地址。证明危害的目的已达到,故未深入(这样对核心系统管理员的身份校验还是体现了很强的安全意识的,值得学习。)
CRM管理系统可对学科(讲座)、呼叫和服务中心、销售、客户、报表等进行管理,无二次身份校验。

CRM系统.jpg


#4、其他
Google得到的其他后台地址:http://www.zhiyinlou.com/admin/SysUsers/login

其他后台泄漏.jpg

漏洞证明:

所有权限.jpg


后台功能.jpg

修复方案:

#1、修正找回密码处的逻辑问题。
#2、关键系统屏蔽搜索引擎爬虫。
#3、重置了管理员密码不好意思●﹏●
#4、未下载任何信息,求20rank,求不开除,求礼物~(本人学员)
#5、来乌云注册个厂商呗~没准以后还有漏洞。祝学而思越办越好。

版权声明:转载请注明来源 Coffee@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-08-13 13:33

厂商回复:

漏洞已确认,感谢对学而思的支持,rank交付

最新状态:

暂无

漏洞评价:

评论

  1. 2014-08-02 12:21 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    我去……秒过啊,感动哭了。

  2. 2014-08-02 16:33 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    #补充#:1、再次测试,MAC地址校验可被绕过,所有功能可以使用。2、上传处存在被Shell风险。(没法修改漏洞了……厂商有什么问题站短或私下交流吧)

  3. 2014-08-03 12:01 | 廖子颉 ( 实习白帽子 | Rank:90 漏洞数:19 )

    求私信细节!!!!@Coffee 

  4. 2014-08-03 15:06 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    @廖子颉 厂商已经联系我了……你想干嘛……

  5. 2014-08-03 19:04 | 廖子颉 ( 实习白帽子 | Rank:90 漏洞数:19 )

    @Coffee 你觉得呢。。。

  6. 2014-08-13 11:39 | zds426 ( 路人 | 还没有发布任何漏洞 | 住在北京)

    @Coffee你盯上学而思了啊

  7. 2014-08-13 12:44 | her0ma ( 核心白帽子 | Rank:598 漏洞数:84 | 专注小厂商三十年!)

    忽略的节奏

  8. 2014-08-13 13:04 | xiaolan ( 实习白帽子 | Rank:35 漏洞数:2 )

    能拖学员资料么..............

  9. 2014-08-13 14:04 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

    居然有这样的漏洞,认识一个朋友是给学而思写软文的

  10. 2014-08-13 14:36 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:200 | <a href=javascrip:alert('xss')>s</a> 点...)

    学而思。。我好记星里就有。

  11. 2014-08-13 15:34 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    @大亮 好神奇的职业……

  12. 2014-08-13 15:37 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    @zds426 哥们怎么不提交漏洞拿帐号的啊?

  13. 2014-08-13 17:25 | zds426 ( 路人 | 还没有发布任何漏洞 | 住在北京)

    @Coffee 哈哈,告诉我漏洞我告诉你

  14. 2014-08-14 00:08 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    @zds426 已经修复了嘿嘿。告诉我吧~

  15. 2014-08-14 01:21 | Haswell ( 普通白帽子 | Rank:167 漏洞数:18 | HorizonSec @ RDFZ)

    围观Coffee牛

  16. 2014-08-14 01:26 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    @Haswell 这么晚了不睡觉……

  17. 2014-08-14 03:17 | xiaolan ( 实习白帽子 | Rank:35 漏洞数:2 )

    @Coffee WooYun drops投稿....当初我也不会挖洞,只能靠投稿拿帐号了......>.<

  18. 2014-08-14 09:17 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    @xiaolan 原来是这样~

  19. 2014-08-14 13:12 | xiaolan ( 实习白帽子 | Rank:35 漏洞数:2 )

    @Coffee 黑阔qq多少呢......

  20. 2014-08-14 13:22 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    @xiaolan 不是黑阔……高三狗一枚

  21. 2014-08-18 18:05 | zds426 ( 路人 | 还没有发布任何漏洞 | 住在北京)

    @Coffee 自己漏洞搞到的

  22. 2014-09-03 08:18 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    阿弥陀佛,还在听许嵩的有何不可。。OUT了施主,shit!

  23. 2014-09-03 12:04 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    @老和尚 好仔细,忘关播放器了⊙﹏⊙

  24. 2014-09-03 13:04 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    ....谁用贫僧的号了???