奥鹏教育某处泄露账号规则可大量泄露学员（姓名/身份证/专业/学院/照件照等信息）

漏洞概要关注数(24) 关注此漏洞

漏洞标题：奥鹏教育某处泄露账号规则可大量泄露学员（姓名/身份证/专业/学院/照件照等信息）

提交时间：2015-10-24 09:07

修复时间：2015-12-11 09:36

公开时间：2015-12-11 09:36

漏洞类型：网络敏感信息泄漏

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-10-24：细节已通知厂商并且等待厂商处理中
2015-10-27：厂商已经确认，细节仅向厂商公开
2015-11-06：细节向核心白帽子及相关领域专家公开
2015-11-16：细节向普通白帽子公开
2015-11-26：细节向实习白帽子公开
2015-12-11：细节向公众公开

简要描述：

详细说明：

http://jikao17.open.com.cn/matriculationonline/login.asp 登陆处
抓包如下：

POST /matriculationonline/authenticate.asp HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Referer: http://jikao17.open.com.cn/matriculationonline/
Content-Type: text/xml; charset=gb2312
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)
Host: jikao17.open.com.cn
Content-Length: 133
Pragma: no-cache
Cookie: b_t_s=t245525658711x; b_t_s_100201=ecca07d8-a09c-4f8d-b383-c701a7f9c560; up_first_date=2015-10-22; Hm_lvt_946766664d58c814a94301842a7a73fb=1445528243; b_t_s_100100=b32b9196-fbe8-4b75-8c21-d989a37cd444; b_t_s_100203=c6508612-c31a-485f-8239-d4b55d4bcd08; up_beacon_user_id_100203=ÓÎ¿Í; up_beacon_user_id_100201=admin1; _ga=GA1.3.1893875257.1445528202; b_t_s_100200=51896485-a73e-491a-8315-f5b2fcfaad17; __utma=238318431.1224188436.1445528202.1445528202.1445540609.2; __utmz=238318431.1445528202.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); ASPSESSIONIDQSTSTBCS=DMOADMMAJFHFBANNNJIELKGM
Connection: close
<?xml version="1.0" encoding="gb2312"?>
<LoginInfo><UserSerial>111111111</UserSerial><UserPassword>1111</UserPassword></LoginInfo>

从这上面代码可以看到UserSerial=明文 UserPassword=明文并没有验证码和登陆次数限制---果断爆破
然而比较有趣的是账号和密码.账号是采用姓名的全拼音.密码也是姓名的全拼音..但是必须在账号前添加qdgc（不得不说百度文档是个好地方）掌握这个规则那么就基本全中招了
列如：用户名是：qdgcwangyong 密码就是：wangyong
然后我就用工具自动生成了一小部分姓名拼音测试一下..结果就有了以下的图