当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-075473

漏洞标题:某通用型学习系统两处任意密码修改到后台GetShell(影响数百所学校)

相关厂商:cncert国家互联网应急中心

漏洞作者:

提交时间:2014-09-10 12:48

修复时间:2014-12-09 12:52

公开时间:2014-12-09 12:52

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-10: 细节已通知厂商并且等待厂商处理中
2014-09-15: 厂商已经确认,细节仅向厂商公开
2014-09-18: 细节向第三方安全合作伙伴开放
2014-11-09: 细节向核心白帽子及相关领域专家公开
2014-11-19: 细节向普通白帽子公开
2014-11-29: 细节向实习白帽子公开
2014-12-09: 细节向公众公开

简要描述:

BOOM!

详细说明:

前人漏洞: WooYun: 某通用型学习系统前台无限制Getshell(影响数百所学校)
由中央广播电视大学现代远程教育开发的一套资源中心系统存在任意帐号密码漏洞,后台可上传任意文件导致代码执行,影响全国所有分中心,几百所以上的学校。貌似主管是国家数字化学习资源中心。几乎涵盖全国所有省
谷歌搜索:http://music.google.cn/search?newwindow=1&site=webhp&source=hp&q=%E2%80%9C%E6%8A%80%E6%9C%AF%E6%94%AF%E6%8C%81%EF%BC%9A%E4%B8%AD%E5%A4%AE%E5%B9%BF%E6%92%AD%E7%94%B5%E8%A7%86%E5%A4%A7%E5%AD%A6%E7%8E%B0%E4%BB%A3%E8%BF%9C%E7%A8%8B%E6%95%99%E8%82%B2%E8%B5%84%E6%BA%90%E4%B8%AD%E5%BF%83%E2%80%9D&btnG=Google+%E6%90%9C%E7%B4%A2
找到约 4,770,000 条结果 (用时 0.15 秒)
影响实例:

nerc.szpt.edu.cn/FrontEnd/default.aspx
nerc.lnnzy.ln.cn/FrontEnd/default.aspx
zy.cdrtvu.com/FrontEnd/default.aspx
210.28.225.145/FrontEnd/default.aspx
110.167.234.52/FrontEnd/default.aspx
222.133.182.235/FrontEnd/default.aspx
xxzy.hekg.cn/FrontEnd/default.aspx
nerc.gdjmxx.com/FrontEnd/default.aspx
nerc.gzedu.com/FrontEnd/default.aspx
nerc.hebnetu.edu.cn/FrontEnd/default.aspx
zyzx.whtvu.com.cn/FrontEnd/default.aspx
222.91.161.219/FrontEnd/default.aspx
learn.nerc-edu.com/FrontEnd/default.aspx
resource.jsgyve.com/FrontEnd/default.aspx
zyzx.shztvu.com:8002/FrontEnd/default.aspx
210.28.216.240/FrontEnd/default.aspx
learn.ybzy.cn/FrontEnd/default.aspx
61.177.123.76/FrontEnd/default.aspx
zzxxw.com.cn/FrontEnd/default.aspx
218.13.33.153/FrontEnd/default.aspx
res.yxgcx.com:8080/FrontEnd/default.aspx
nerc.szrtvu.com.cn/FrontEnd/default.aspx
218.26.168.18/FrontEnd/default.aspx
zyzx.gtxy.cn/FrontEnd/default.aspx
nerc.wxtvu.cn/FrontEnd/default.aspx
61.186.170.110:8000/FrontEnd/default.aspx
218.57.132.10:8080/FrontEnd/default.aspx
nerc.cswu.cn/FrontEnd/default.aspx
nerc.xartvu.sn.cn/FrontEnd/default.aspx
nerc.lyvec.net/FrontEnd/default.aspx
rc.niit.edu.cn/FrontEnd/default.aspx
nerc.hljcedu.com/FrontEnd/default.aspx
222.91.161.219/FrontEnd/default.aspx
nerc.hnrtu.edu.cn/FrontEnd/default.aspx
121.15.1.26/FrontEnd/default.aspx
124.152.245.50/FrontEnd/default.aspx
218.22.21.231/FrontEnd/default.aspx
zzxxw.cn/FrontEnd/default.aspx
218.20.222.100:801/FrontEnd/default.aspx
whgjjx.cn:8088/FrontEnd/default.aspx
webmedia.fjrtvu.edu.cn:81/FrontEnd/default.aspx

漏洞证明:

以http://nerc.szpt.edu.cn/FrontEnd/default.aspx 深圳职业技术学院为例
前台忘记密码处,找回密码 http://nerc.szpt.edu.cn/frontend/member/FindPwd.aspx
(这里说明一下,该系统用户名注册自带后缀,且每个学校的后缀均不同,比如深圳职业技术学院是【用户名】:szzyj 管理员帐号默认为admin)

m1.jpg


0x1: 找回管理员的帐号密码,也就是 admin:szzyj 提交之后查看源代码

m2.jpg

m3.jpg

m4.jpg

m5.jpg

m6.jpg

m7.jpg


0x2:注册一个帐号(填写密保问题答案)-找回密码-输入自己注册的帐号- 密保验证成功后到输入密码界面-修改参数-密码修改成功
例: 自注帐号 a123456:szzyj 提示问题: a123456 提示答案:a123456

b1.jpg

b2.jpg

b5.jpg

b4.jpg


讲hfID修改为6472dc67-13a7-49d7-9d72-1b063cdf4b32 (其中6472dc67-13a7-49d7-9d72-1b063cdf4b32就是admin帐号,这个hfID值是我通过第一个任意密码修改得出的,虽然不能实现任意密码修改 只能重置admin 但是admin是管理员帐号,只要重置了这个帐号就可以GetShell,而且经过我对其他站点的测试,这个hfID值是不变的)
然后是后台GetShell,经过任意密码修改漏洞我将admin:szzyj 密码修改为123456

w1.jpg

w2.jpg


在系统配置这里可以修改上传图片格式,加个|asp,直接上传一句话

w6.jpg

cc.jpg

修复方案:

版权声明:转载请注明来源 @乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2014-09-15 10:36

厂商回复:

CNVD确认并复现所述情况(由上海交通大学网络信息中心协助完成),同时转报给教育网应急组织,由其后续协调处置。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-12-06 01:27 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    没看懂,这个文件是传到哪个目录了

  2. 2014-12-21 13:18 | 用来怀念 ( 路人 | Rank:0 漏洞数:1 | 不是什么人都一定要去拥有,有的东西最好用...)

    求楼主解答一下,上传后的路径在哪里啊???

  3. 2014-12-21 13:26 | 用来怀念 ( 路人 | Rank:0 漏洞数:1 | 不是什么人都一定要去拥有,有的东西最好用...)

    找到了,不过执行权限限制了,谢谢楼主分享~!