当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157825

漏洞标题:某著名财经大学分站存在弱口令,导致所有分站被拿下(涉及3万多学生及教师,及学校几乎所有信息泄露)

相关厂商:江西财经大学

漏洞作者: 路人甲

提交时间:2015-12-03 12:09

修复时间:2016-01-21 09:00

公开时间:2016-01-21 09:00

漏洞类型:基础设施弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-03: 细节已通知厂商并且等待厂商处理中
2015-12-07: 厂商已经确认,细节仅向厂商公开
2015-12-17: 细节向核心白帽子及相关领域专家公开
2015-12-27: 细节向普通白帽子公开
2016-01-06: 细节向实习白帽子公开
2016-01-21: 细节向公众公开

简要描述:

江西财经大学是一所财政部、教育部、江西省人民政府共建,以经济、管理类学科为主,法、工、文、理、农、教育、哲学、历史、艺术等学科协调发展的高等财经学府。2008年2月6日,时任国务院总理温家宝与学校师生共度除夕,并称赞说:“你们学校是所很好的学校”。
学校前身为1923年秋创办的江西省立商业学校,1958年成立江西财经学院,文革期间几经更名并遭停办,1978年复校,1980年成为财政部部属院校,1996年更名为江西财经大学,2000年学校管理体制由财政部主管转变为由江西省主管,2012年成为财政部、教育部、江西省人民政府共建高校。
学校坐落英雄城南昌市,据2013年学校官网显示,学校有蛟桥园、麦庐园、枫林园、青山园4个校区。占地面积共2200余亩,建筑面积90余万平方米,馆藏各类图书491万册(含电子)。校园是全国绿化300佳单位之一。设有16个教学学院、4个管理型学院以及1个独立学院。
(为我母校打个广告)

详细说明:

http://**.**.**.**/

`5{C}9G5VZA`A2CIDC9N3)J.png


(有一天路过,碰巧遇到这个网站)打开后台

0](N}N)~I[3J[0@7@}IUOE1.png


熟悉的后台,简单爆破一下。

FB_F(_I1$K(GRTWLHXB1~1P.png


哎,数据库备份,拿到webshell.

漏洞证明:

`GYFO6GDL)ULMU~{@4_GX`C.png


越权访问,所有站点一目了然

`GYFO6GDL)ULMU~{@4_GX`C.png


拿数据。

(J}[({9L~2AM3Y6T)YHFM9H.png

修复方案:

老师,求教,TVT母校,不给我奖励合适吗?
(如果学校忽略,希望审查能别把这篇公开)谢谢了

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-12-07 08:57

厂商回复:

通知处理中

最新状态:

暂无


漏洞评价:

评价