当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-065791

漏洞标题:浙江海洋学院正方教务211端口可对数据库进行操作

相关厂商:浙江海洋学院

漏洞作者: reality0ne

提交时间:2014-06-26 15:29

修复时间:2014-08-10 15:30

公开时间:2014-08-10 15:30

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-26: 细节已通知厂商并且等待厂商处理中
2014-06-30: 厂商已经确认,细节仅向厂商公开
2014-07-10: 细节向核心白帽子及相关领域专家公开
2014-07-20: 细节向普通白帽子公开
2014-07-30: 细节向实习白帽子公开
2014-08-10: 细节向公众公开

简要描述:

教务系统客户端的冷饭,终极爆破漏洞已经被爆出来了,学校貌似认为是内网依旧用的很开心,我内网提交的漏洞貌似教务处老师们一个都没有看过= =

详细说明:

外网的话就首先是用网上公开的VPN帐号密码进行登录(我相信这个VPN本来是给老师用的,但是没办法= =不可能所有老师都有良好的安全意识,现在这个VPN几乎所有人都知道,网上一找就有),不过这个VPN很不稳定= =内网的话就去图书馆找个位置坐下来,连上ZJOUWLAN。
主要一个是211端口的漏洞,虽然站库分离,但是这根本避免不了被有心人拿下,172的网段在图书馆连上ZJOUWLAN后扫一下211端口就行,结果就发现了172.16.*.33和172.16.*.35,35那个是新版的客户端,不过貌似是给独立学院用的,但是本校还是老一套客户端(UPX壳?秒了)。
正方自己也不负责,登录是本地验证的,所以在其登录时就会发送一条

select * from yhb where yhm=`tsg` ...

的SQL语句,所以你密码错误还没登录的时候加密后的密码已经被发过来了(BTW: jwc01这是什么管理老师一看就知道)。
密码虽然是加密后的,而且zjdx.dll可以直接找到,根据jiemi函数来看还有一个私钥,学校的私钥虽然不是原始的,但是可以自己构造SQL语句最后找到自己的密码然后做足够次数的逆向后,算出这个私钥也不是问题。这样逆向出jwc01的密码也不是问题了。
再回到客户端,客户端由于正方农民工水平的码农所以权限管理完全靠软件本地,爆破(爆破过程简单到可怕,一般就是爆破第一课的水平,找到字符串跟一下,jnz改掉)后的客户端用jwc01直接登录后就可以进行任何操作~我什么都没干什么都没干~~

 2014-06-21 23.35.21.png


另外就是web端的问题,fckeditor永远是有漏洞的,遍历目录导致excel下文件的外露最终倒置学生信息的泄露(其实弱口令还是有很多的,包括老师帐号)。我检查后172.16.*.30/32/34好像都是有这个问题的。尤其是那个userfiles目录里,本来我还以为是我建立的目录,之后查了多个服务器后才发现原来有学长已经进来过了= =老师们你们一直没有发现shell.asp那个吗?
下面是列目录图

C40C69FD-94B5-4EAA-8C7E-7B07202C7542-2014-6-1721-55-35.png

漏洞证明:

包含在详细说明里了~

修复方案:

使用新版教务系统(虽然新版依旧有大堆漏洞)
最好还是找几个老师仔细改改这个教务系统
让老师多关注内网消息,我发在内网论坛的漏洞信息一个老师看的都没有,上次去教务处领东西那个老师态度让我再也不想见到他了= =既然内网论坛没有老师管理的话就发乌云来了,都是老漏洞长新脸,就给高等级下最低的10rank了~

版权声明:转载请注明来源 reality0ne@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-06-30 14:59

厂商回复:

通知处理中

最新状态:

暂无