当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082249

漏洞标题:全国高校某数字化校园统一认证平台一键获取管理员权限

相关厂商:正方软件股份有限公司

漏洞作者: 传说online

提交时间:2014-11-06 17:44

修复时间:2015-02-04 17:46

公开时间:2015-02-04 17:46

漏洞类型:非授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-06: 细节已通知厂商并且等待厂商处理中
2014-11-11: 厂商已经确认,细节仅向厂商公开
2014-11-14: 细节向第三方安全合作伙伴开放
2015-01-05: 细节向核心白帽子及相关领域专家公开
2015-01-15: 细节向普通白帽子公开
2015-01-25: 细节向实习白帽子公开
2015-02-04: 细节向公众公开

简要描述:

数字化校园统一认证平台,进入之后,可以管理高校所以其他任意系统,如OA办公系统,图书馆系统,教务系统,多媒体平台等。一个权限认证绕过,可导致整个内网数据沦陷。

详细说明:

前言:此漏洞属猜解绕过,无技术含量,但影响大。
因为通用型,我们这里找了一个示例站点来作范例,
四川航天职业技术学院 http://220.167.53.63:8023/zfca/
这个链接官网主页上面有,所以容易找到。
下面看图示:

01.png


我们这里直接常用思路,找回密码试试

02.png


这里没有密保手机和邮箱,只有试尝试密保问题找回咯,填入admin吧!

03.png


看到这里,密保问题居然是学号,大家想到了什么?我们可以用数字弱口令试试,当然是学号,那么大多数肯定是数字,我们用数字字典可以爆破!
不过很巧,我直接手动输入1吧,看看结果。

04.png


看到没,密码已经被重置为6位随机数字了。。。
说明密保回答1,是正确的。
然后我们再用管理员登陆,看看这个权限是有多大。

05.png


登陆后,我们看到了这么左下方可以管理这么多系统。
好吧,我们尝试下到底能不能进入这些系统。先从最感兴趣的OA系统试下。

06.png


07.png


这东西直接获得OA系统的管理权限,而且权限之大,上图所示。
我们再看看能否进入其他平台,我们用 网络教学平台系统 试试

08.png


好吧。也是系统权限。。
如此多的第三方系统,拿SHELL和服务器难吗?。。。
这个网站就不深入了,数据没动,请管理员修改密码及时修复。
另外为了证明此漏洞的通用性,本人从百度上找了几个典型大学网站,并利用此漏洞截图。
华中师范大学

华中师范大学.jpg


长江职业学院

长江职业学院.jpg


重庆师范大学

重庆师范大学.jpg


山西农业大学

山西农业大学.jpg


景德镇陶瓷学院

20.png


漏洞证明:

前言:此漏洞属猜解绕过,无技术含量,但影响大。
因为通用型,我们这里找了一个示例站点来作范例,
四川航天职业技术学院 http://220.167.53.63:8023/zfca/
这个链接官网主页上面有,所以容易找到。
下面看图示:

01.png


我们这里直接常用思路,找回密码试试

02.png


这里没有密保手机和邮箱,只有试尝试密保问题找回咯,填入admin吧!

03.png


看到这里,密保问题居然是学号,大家想到了什么?我们可以用数字弱口令试试,当然是学号,那么大多数肯定是数字,我们用数字字典可以爆破!
不过很巧,我直接手动输入1吧,看看结果。

04.png


看到没,密码已经被重置为6位随机数字了。。。
说明密保回答1,是正确的。
然后我们再用管理员登陆,看看这个权限是有多大。

05.png


登陆后,我们看到了这么左下方可以管理这么多系统。
好吧,我们尝试下到底能不能进入这些系统。先从最感兴趣的OA系统试下。

06.png


07.png


这东西直接获得OA系统的管理权限,而且权限之大,上图所示。
我们再看看能否进入其他平台,我们用 网络教学平台系统 试试

08.png


好吧。也是系统权限。。
如此多的第三方系统,拿SHELL和服务器难吗?。。。
这个网站就不深入了,数据没动,请管理员修改密码及时修复。
另外为了证明此漏洞的通用性,本人从百度上找了几个典型大学网站,并利用此漏洞截图。
华中师范大学

华中师范大学.jpg


长江职业学院

长江职业学院.jpg


重庆师范大学

重庆师范大学.jpg


山西农业大学

山西农业大学.jpg


景德镇陶瓷学院

20.png


修复方案:

加强验证。。

版权声明:转载请注明来源 传说online@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2014-11-11 10:07

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-11-06 18:50 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    看标题写得好像跟后门差不多的样子...

  2. 2014-11-07 00:44 | 破锁 ( 路人 | Rank:23 漏洞数:6 )

    其实我拿着字典跑了老师的oa账号,就差10多个没跑出来,我觉得还是不提交了,以后晚上断网还得用下外教的上网账号的

  3. 2014-11-07 15:56 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    @破锁 我们不限制网络。。。跑了没有用- -

  4. 2014-11-08 00:03 | 破锁 ( 路人 | Rank:23 漏洞数:6 )

    @Bird 好学校

  5. 2014-11-08 13:04 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    @破锁 - - 就是玩游戏延迟高- - 教育网通病

  6. 2014-11-08 14:31 | 破锁 ( 路人 | Rank:23 漏洞数:6 )

    @Bird 网速10M/s 别羡慕

  7. 2014-11-08 19:29 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    @破锁 同10M/s- - 100Mbps

  8. 2014-11-08 21:50 | 破锁 ( 路人 | Rank:23 漏洞数:6 )

    @Bird 当我没说

  9. 2014-11-29 07:18 | wellsun ( 路人 | Rank:0 漏洞数:1 | www.wellsun.com)

    一键获取管理员权限?改数据包里对于那个的参数名吗?例如ab 改 cb

  10. 2014-11-30 22:44 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    @破锁 - - 不要在意这些细节

  11. 2014-12-01 10:11 | pandas ( 普通白帽子 | Rank:585 漏洞数:58 | 国家一级保护动物)

    这应该算不上通用吧