当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0213969

漏洞标题:四川省30所高校官方APP任意账户密码重置/上万大学生姓名/手机/教务处账号密码等信息泄漏

相关厂商:成都知立达科技有限公司

漏洞作者: 阿凡达

提交时间:2016-05-29 11:57

修复时间:2016-07-16 14:20

公开时间:2016-07-16 14:20

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-29: 细节已通知厂商并且等待厂商处理中
2016-06-01: 厂商已经确认,细节仅向厂商公开
2016-06-11: 细节向核心白帽子及相关领域专家公开
2016-06-21: 细节向普通白帽子公开
2016-07-01: 细节向实习白帽子公开
2016-07-16: 细节向公众公开

简要描述:

自己学校在用,顺手发现…… 然后就顺带友情检测了一下

详细说明:

1、任意账户密码修改
忘记密码->抓包->发现包没有任何加密,短信的验证码也只有4位,没有时间限制,没有token,爆破之

POST /ligong/rest/user/resetPassword HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 133
User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.0; )
Host: **.**.**.**
Connection: close
Accept-Encoding: gzip
schoolId=0&userId=0&from=an&version=V1.3.107&tel=13888888888&password=aaca0f5eb4d2d98a6ce6dffa99f8254b&smsShortCode=0082&encryption=1


为了测试我把官方帐号 密码改成了 avatar
2、泄漏学生姓名、手机号、所在高校、学院、班级、性别、教务处帐号、教务处密码
3、强改任意用户的昵称
修改用户名直接抓包 没有多余验证,此条危害不大只用作恶作剧了,不过如果有人批量搞的话可能就会严重点
4、任意UID查信息(可批量遍历)

http://**.**.**.**/ligong/rest/user/queryOther?from=an&otherUserId=151711


UserID排到20W+ 但实际大概有6W+用户
5、查通讯录(整个专业的联系ID、姓名和联系方式)

http://**.**.**.**/ligong/rest/contact/queryContactList?schoolId=1&userId=41494&from=an&version=1.3.502&classGradeId=XXXX


XXXX为遍历,我测试最大是6509(未准确验证)
先随便查个

随便查一个.png


详细信息.jpg


登录教务处验证.jpg


在教务处又能获得其他很多数据……我就不继续深入了……

再来一把.jpg


写poc 批量验证,(代码太丑我就不发了 原理上面说了)
有效信息 69114个用户(算测试)(未深入验证)
受影响高校

成都理工大学
四川艺术职业学院
成都信息工程大学银杏酒店管理学院
成都职业技术学院
成都体育学院
西华大学
四川城市职业学院
四川国际标榜职业学院
四川文化产业职业学院
成都文理学院
成都信息工程大学
乐山师范学院
四川大学锦城学院
西南交通大学希望学院
电子科技大学成都学院
四川汽车职业技术学院
成都中医药大学
西安铁路职业技术学院
西南财经大学天府学院
四川商务职业学院
四川华新现代职业学院
四川希望汽车职业学院
四川工商学院
四川管理职业学院
西北工业大学明德学院
西南财经大学
四川文化传媒职业学院
四川长江职业学院
成都农业科技职业学院
宜宾学院


漏洞证明:

泄漏的数据.png


手机13888888888.jpg


其余在 详细说明中。

修复方案:

你们比我更专业,去年社团去成都软件园的时候,我觉得那里环境好好啊!!

版权声明:转载请注明来源 阿凡达@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-06-01 14:14

厂商回复:

CNVD确认所述情况,已经转由CNCERT向教育网应急组织通报,由其后续协调网站管理单位处置.

最新状态:

暂无

漏洞评价:

评价

  1. 2016-05-29 18:48 | 方大核桃 ( 普通白帽子 | Rank:207 漏洞数:63 | 要怎么长大,才能赢过时间啊)

    欢迎加入(hun)乌(lian)云(shu)!

  2. 2016-05-29 19:24 | 爱偷懒的98 ( 普通白帽子 | Rank:207 漏洞数:73 | 从前车马邮件都很慢,一生只够爱一个人。)

    从四川省30所高校官方APP到四川省看守所

  3. 2016-05-29 19:45 | 阿凡达 ( 路人 | Rank:14 漏洞数:2 | 新人一枚……)

    @爱偷懒的98 不 要 吓 我!

  4. 2016-05-29 19:45 | 阿凡达 ( 路人 | Rank:14 漏洞数:2 | 新人一枚……)

    @方大核桃 lianshu lianshu

  5. 2016-05-29 19:55 | 爱偷懒的98 ( 普通白帽子 | Rank:207 漏洞数:73 | 从前车马邮件都很慢,一生只够爱一个人。)

    @阿凡达 没有吓你,顶多坐个四五年,放心了

  6. 2016-05-29 20:27 | 阿凡达 ( 路人 | Rank:14 漏洞数:2 | 新人一枚……)

    @爱偷懒的98 T_T

  7. 2016-05-29 21:09 | 爱偷懒的98 ( 普通白帽子 | Rank:207 漏洞数:73 | 从前车马邮件都很慢,一生只够爱一个人。)

    @阿凡达 互相关注哇 来。

  8. 2016-05-29 21:14 | 阿凡达 ( 路人 | Rank:14 漏洞数:2 | 新人一枚……)

    @爱偷懒的98 好 已关!

  9. 2016-06-21 15:39 | 方大核桃 ( 普通白帽子 | Rank:207 漏洞数:63 | 要怎么长大,才能赢过时间啊)

    实际只有6w多有效的userid 看来你把20w userid都遍历过了. 性质很严重,最少三年

  10. 2016-06-25 10:22 | 阿凡达 ( 路人 | Rank:14 漏洞数:2 | 新人一枚……)

    @方大核桃 看到了最新的世纪佳缘的事情,我已经吓得魂不守舍了。 再不敢来wooyun提交漏洞了,求厂商放过我 对不起对不起,我还是个学生啊啊啊啊还想多上几年学T_T

  11. 2016-06-26 00:21 | 方大核桃 ( 普通白帽子 | Rank:207 漏洞数:63 | 要怎么长大,才能赢过时间啊)

    @阿凡达 遍历100条就ok了.玩得太大影响不好