当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-090566

漏洞标题:安徽省中小学校舍管理系统弱口令

相关厂商:cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间:2015-01-08 11:26

修复时间:2015-02-22 11:28

公开时间:2015-02-22 11:28

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-08: 细节已通知厂商并且等待厂商处理中
2015-01-13: 厂商已经确认,细节仅向厂商公开
2015-01-23: 细节向核心白帽子及相关领域专家公开
2015-02-02: 细节向普通白帽子公开
2015-02-12: 细节向实习白帽子公开
2015-02-22: 细节向公众公开

简要描述:

我手拿御剑和菜刀,喊着黑阔的口号。 抓鸡盗号黑频道,我谁也不怕了。 我一生干掉多少电脑,见到网警我就跑。 入侵破解玩不好,半夜练习搞电脑。 啊~~~~~~ 黑阔又在黑频道 啊~~~~~~ 黑阔搞起刷钻了 啊~~~~~~ 啥人都成黑阔了 啊~~~~~~ 啊~~~~~~ 黑阔江湖瞎乱搞,看我混的多么好。 徒子徒孙也不少,自觉牛逼不好搞。 被社才知是傻叼,低调删号重新搞。 大笑一声你能怎样,被抓才知后悔了。 说唱部分 查了水表才知道这行真的不搞 各种技术我只学了点皮毛 删了数据挂了黑页我就跑 网络技术没有好坏别不知道自己是傻叼 学的不好不必着急继续慢慢搞 各种黑阔不要社我没那种必要 社出来了又能怎样有能你咬我 浪费时间浪费精力家人最重要 小沈阳唱的大笑江湖改编的~~~

详细说明:

http://schoolhouse.eduapp.ahedu.gov.cn/地址 帐号test 密码123
密码直接暴露在前台了

QQ图片20150106225841.png


功能还是挺齐全的管理者合肥大大小小一千多所学校

QQ图片20150106230231.jpg


用地金额好贵呀

QQ图片20150106230350.jpg


最关键能看到校长信息看校长不爽都砍校长把

QQ图片20150106230432.png

漏洞证明:

http://schoolhouse.eduapp.ahedu.gov.cn/地址 帐号test 密码123
密码直接暴露在前台了

QQ图片20150106225841.png


功能还是挺齐全的管理者合肥大大小小一千多所学校

QQ图片20150106230231.jpg


用地金额好贵呀

QQ图片20150106230350.jpg


最关键能看到校长信息看校长不爽都砍校长把

QQ图片20150106230432.png

修复方案:

密码改的天才点。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-01-13 08:29

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给安徽分中心,由其后续协调网站管理单位处置.

最新状态:

暂无