当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-074102

漏洞标题:河北农业大学教务系统漏洞(可改考试成绩,可查看教师、管理员账号密码)

相关厂商:CCERT教育网应急响应组

漏洞作者: 路人丶乙

提交时间:2014-08-27 19:16

修复时间:2014-10-11 19:18

公开时间:2014-10-11 19:18

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-08-27: 细节已通知厂商并且等待厂商处理中
2014-08-29: 厂商已经确认,细节仅向厂商公开
2014-09-08: 细节向核心白帽子及相关领域专家公开
2014-09-18: 细节向普通白帽子公开
2014-09-28: 细节向实习白帽子公开
2014-10-11: 细节向公众公开

简要描述:

河北农业大学urp综合教务系统存在漏洞,获取内网数据库服务器信息,连接数据库,直接操作,改任意信息,管理员、教师、学生账号密码,可修改考试成绩,数万教师学生信息暴露,望快快修复母校这恐怖漏洞,让不法分子获取,学校正常工作都无法开展。

详细说明:

urp教务系统存在任意文件读取漏洞,可读取网页代码中数据库连接文件(servlet/com.runqian.base.util.ReadJavaScriptServlet?file=../../../../../../../../conf/resin.conf),获取数据库信息。再获取一台学校内网服务器后,连接数据库,可对数据库任意操作,危害十分严重,这如果让不法分子获取,后果不堪设想。
http://urp.hebau.edu.cn

漏洞证明:

读取教务系统数据库连接信息

1信息.jpg


获取内网服务器

1shel.jpg


连接数据库

1数据连接.jpg


测试修改考试成绩。(特别注意修改后的考试成绩我已经还原,只是测试和验证漏洞的可靠性。)
修改前考试成绩

1ys.jpg


修改后的考试成绩

1修改.jpg


查询管理教师学生账号密码表

113.jpg


举例查看某可爱眫子老师信息

1jv.jpg


登录眫子老师成绩录入系统

1登录.jpg


修复方案:

修复升级urp教务系统,北京清元优软科技有限公司应该会做好的,其他服务器加强安全加固。为防止内部人员渗透,还是得修复选课系统漏洞

版权声明:转载请注明来源 路人丶乙@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-08-29 12:52

厂商回复:

通知处理中

最新状态:

暂无

漏洞评价:

评论

  1. 2014-09-03 17:55 | wellsun ( 路人 | Rank:0 漏洞数:1 | www.wellsun.com)

    欢迎大家加入通杀教务系统漏洞QQ 群: 310068074

  2. 2014-10-19 03:32 | wellsun ( 路人 | Rank:0 漏洞数:1 | www.wellsun.com)

    汗死,改成绩? 不怕水表?据我所知的,改成绩的无一例外被抓

  3. 2014-10-19 03:33 | wellsun ( 路人 | Rank:0 漏洞数:1 | www.wellsun.com)

    请问下URP你是怎么运行asp马的???

  4. 2014-10-19 18:57 | 路人丶乙 ( 实习白帽子 | Rank:34 漏洞数:13 | 花谢花飞飞满天 红消香断有谁怜)

    @wellsun 骚年,你可以拥有改成绩的能力,但你未必飞的去做。。。

  5. 2014-10-19 18:59 | 路人丶乙 ( 实习白帽子 | Rank:34 漏洞数:13 | 花谢花飞飞满天 红消香断有谁怜)

    @wellsun tomcat不能解析asp,你没看懂入侵过程,asp是运行在另一台内网服务器上的,是内网入侵

  6. 2015-08-29 14:27 | 北京清元优软科技有限公司(乌云厂商)

    此漏洞已经修复,已经通知学校进行升级,感谢您提交的问题