当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-091328

漏洞标题:上海某高等院校存在多处高危漏洞致使学生信息一览无余(包含银行卡、学籍、一卡通实时消费等)

相关厂商:上海海洋大学

漏洞作者:

提交时间:2015-01-12 12:34

修复时间:2015-02-26 12:36

公开时间:2015-02-26 12:36

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-12: 细节已通知厂商并且等待厂商处理中
2015-01-16: 厂商已经确认,细节仅向厂商公开
2015-01-26: 细节向核心白帽子及相关领域专家公开
2015-02-05: 细节向普通白帽子公开
2015-02-15: 细节向实习白帽子公开
2015-02-26: 细节向公众公开

简要描述:

全校
学号
姓名
证件号码
籍贯
出生日期
民族
考生号
学院
专业
年级
在校状态
生源地
通讯信息
银行卡号
一卡通余额
招生名单管理
毕业中学名称
考生奖励或处分
考生特长
政审意见
考生高考成绩
考生家庭地址
以及任意登录校内邮件系统,URP综合教务,EOL网络教学,学生一体化,仪器预约等多种网络应用和信息资源

详细说明:

www.shfu.edu.cn 上海海洋大学
1.学生一体化系统存在目录遍历
http://app.shfu.edu.cn:8080/sis/static/logon/login.jsp
通过两个备份文件
http://app.shfu.edu.cn:8080/sis/static/logon/guide.doc
http://app.shfu.edu.cn:8080/sis/static/logon/logon.jsp.081009bak
获知系统管理用户名为manager,密码:a ,该系统需IE登录,其他浏览器不兼容

1.jpg

2.jpg


5W学生学籍信息以及3千新生,详细内容如下:

考生号  141101011512** 准考证号  0106507** 姓名  张亚* 
性别  女 出生年月  1996-08-12 政治面目  中国共产主义青年团团员 
民族  汉族 考生类别  城镇应届 毕业类别  高中毕业 
毕业中学代码  0000000** 毕业中学名称  北京市***中学 外语语种  英语 
会考等级    报名单位(为区县招生办)  0111 考生特征  文艺特长生10 
考生系统单位    考生户口所在地区    考生身份证号  5101071996081226** 
考生家庭地址  朝阳区************** 邮政编码  100125 考生联系电话  1340100***2  13***066 
考生会考考号  01111100*** 考生特长  书法、小提琴 考生奖励或处分  曾获*****第十六届艺术节*****一等奖 
外语口试  1 政审意见  平时你总是默默无闻,但是你团结同学,热爱班集体,字写得很漂亮,默默的为班级出了三年的板报。你遵守纪律,在学习方面,你不是十分积极主动,由于一些方法不得当,进步不是很显著,要注意改进方法。 考试类型  秋季统考 
收件人    应试卷种代码  01 外语听力  1 
批次  本二批 科类  理工 投档单位    
计划性质  统招 考生成绩  497 特征成绩  497 
投挡成绩  497 照顾分    院校导入成绩  0 
专业投档基准成绩  497 专业投档附加成绩  309 投档志愿  1 
当前投档单位  001 预投专业  03 录取专业  市场营销(国际商务) 
退挡原因    备注    
专业合格  1 体检合格  1 录取方式  一般统考生 
考生状态  5 锁定标志  0 专业1对应的投档单位  001 
专业1  03 专业2对应的投档单位  001 专业2  01 
专业3对应的投档单位  001 专业3  02 专业4对应的投档单位    
专业4    专业5对应的投档单位    专业5    
专业6对应的投档单位    学院  爱恩学院 专业6    
志愿特征    专业志愿调剂  1 是否服从定向调剂  0 
专业调剂方向  00000000000000000000000000000000000000000000000000000000000000000000000000000000 体检受限标志    体检结论代码  2 
投档单编号  1 考生操作标志  0 高考成绩项1  116 
高考成绩项2  65 高考成绩项3  128 高考成绩项4  188 
高考成绩项5    高考成绩项6    高考成绩项7    
高考成绩项8    高考成绩项9    高考成绩项10    
高考成绩项11    高考成绩项12  3 高考成绩项13    
高考成绩项14    高考成绩项15    高考成绩项16    
专业受限1  04 专业受限2  05 专业受限3    
专业受限4    专业受限5    专业受限6    
数据中心文档对象复制清除关闭 
加载时间 = 19
正在装载数据...

此系统还可以查询处分,撤销处分,查询奖学金,申请审核奖学金,另该校多系统密码默认为身份证后6位数,帐号为学号,可以用过查询学籍信息获取

3.jpg


可重置用户密码,查看银行卡等信息

4.jpg


2. 任意文件上传
http://portal.shfu.edu.cn/portal/dt 数字校园平台
http://portal.shfu.edu.cn:8080/eapdomain/neudcp/comm/tinymce/jscripts/tiny_mce/plugins/advimage/Upload.jsp 上传图片,BURP抓包上传JPG文件修改后缀

qq1.jpg

qq2.jpg


3.上海海洋大学的海大综合平台使用了金仕达的统一身份认证系统,可实现单点登录
官网首页既有登录入口,帐号名即学号,密码统一默认为身份证后6位 (可通过上述学生一体化系统查询身份证跟学号,我这边抽取了一些帐号登录,密码均为身份证后6位)
如用户修改过密码,无法登录,该系统还存在任意密码修改,找回密码安全验证码为6位,无限制,可以爆破

qq3.jpg

qq6.jpg

qq7.jpg


登录海大综合服务平台可访问多种网络应用和信息资源以及查询一卡通余额等

qq8.jpg

qq9.jpg

你卡里还剩多少钱,什么时候消费的,消费了什么,一清二楚!

qq10.png

qq12.jpg

单点登录URL综合教务

qq11.jpg

EOL网络教学

qq13.jpg

仪器预约

qq15.jpg

图书馆

qq16.jpg

邮件系统

qq17.jpg


班车预定

qq20.jpg


共30个应用,60个部门服务,不再一一列举

qq19.jpg


4. http://202.121.66.69/yxxt/web/zzfw_index.do?v=f40bedaa31b350449b2b7ae30ac66dc0迎新管理系统 (初始密码也为身份证后6位,帐号即学号)

qq22.png

qq23.png

qq24.png


5. 海大EOL网络教学存在SQL注射漏洞,乌云已有公开漏洞披露过
http://202.121.64.20:81/eol/main.jsp
WooYun: theol网络教学系统SQL注入影响全国百分之80的大学

qq27.jpg


小小的跑了一下,找到了管理员密码

qq28.jpg

qq29.jpg

没有脱裤,请放心,测试的数据回头就删

漏洞证明:

修复方案:

即使没有任意密码修改 没有SQL注入
仅学生一体化系统一个小小的漏洞就能导致全校学生信息泄露,
所以现在你们知道为什么那些个骗子是怎么知道你的资料 你爸妈的名字了吗
学校安全这样,还怎么好好读书?
一朋友刚好是该校新生,已经私下跟她核实了,信息准确率100%
据她所称近期还有交过EOL网络教学的作业,并问我能不能帮她朋友撤销下处分,被我义正言辞的拒绝了 哥就是这么怂..

版权声明:转载请注明来源 @乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-01-16 14:14

厂商回复:

正在通知相关学校处理

最新状态:

暂无

漏洞评价:

评论

  1. 2015-01-12 12:48 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @疯狗 @Finger大小厂商的定义不是按严重程度?

  2. 2015-01-12 12:52 | superbing ( 普通白帽子 | Rank:174 漏洞数:29 | 常羡古时儿女怀,嘻戏千山好自在。)

    带妹子相片不?

  3. 2015-01-12 12:56 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @superbing 带的

  4. 2015-01-12 12:57 | Yang ( 普通白帽子 | Rank:247 漏洞数:86 | 作为菜鸟,大米手机摔破了怎么办?)

    这个目测会被忽略呀!

  5. 2015-01-12 13:18 | superbing ( 普通白帽子 | Rank:174 漏洞数:29 | 常羡古时儿女怀,嘻戏千山好自在。)

    @魇 带妹子图片就很严重了,影响全国青少年 生理健康!

  6. 2015-01-16 14:21 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    危害等级:中 @CCERT教育网应急响应组 这个评级真的好意思?

  7. 2015-01-16 15:05 | sin ( 实习白帽子 | Rank:38 漏洞数:2 | 寻找最优雅的解决方案)

    @魇 不激动不激动。。。学校都是这样。话说EOL系统你getshell了?貌似oracle注入waf很难过,其他洞倒是有些。

  8. 2015-01-16 15:18 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @sin 这个学校没有waf..

  9. 2015-01-16 16:10 | sin ( 实习白帽子 | Rank:38 漏洞数:2 | 寻找最优雅的解决方案)

    @魇 eol写到其实还不错的。过滤了很多函数。getshell也有限制。貌似只能是admin权限才能吧。shell的话国内常见一句话大小马的都挂了。加密混淆和国外马貌似还凑合。

  10. 2015-02-26 13:36 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    我来看看妹子……

  11. 2015-02-27 21:09 | xsser_w ( 普通白帽子 | Rank:112 漏洞数:33 | 哎)

    这个dcp 系统又是东软的。。漏洞N个

  12. 2015-02-28 11:47 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    这样啊,那么牛,话说你可以查查有木有富婆啊,比如你家附近的大学的,一卡通里有一万两万的绝对是富婆啊,快行动!