当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038482

漏洞标题:多智教育233网校后台登录漏洞

相关厂商:233.com

漏洞作者: qq1281232825

提交时间:2013-10-18 12:26

修复时间:2013-12-02 12:27

公开时间:2013-12-02 12:27

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-18: 细节已通知厂商并且等待厂商处理中
2013-10-21: 厂商已经确认,细节仅向厂商公开
2013-10-31: 细节向核心白帽子及相关领域专家公开
2013-11-10: 细节向普通白帽子公开
2013-11-20: 细节向实习白帽子公开
2013-12-02: 细节向公众公开

简要描述:

多智教育233网校后台信息泄露,弱口令
全站权限 用户名 身份证 手机号 性别 ........一目了然希望尽快修复

详细说明:

综合后台:
http://wx.233.com/Search/school/ddkde233Dexffdbvddfd11/aaammmdddffggddk/ddf3233dfdooqnmb.asp
http://www.233.com/search/Q^V(TM!(R~K1~_ADMAXE/Login.asp (考试大)
综合后台:
http://www.233.com/search/tnbvp10)o/pm1311examimop/admin/login.asp(后台一)
司法,教师,秘书,人力资源,执业药师,物流,报检/货代,会计从业,中级会计,高级会计,公共营养师,管理咨询师,价格鉴证师,心理咨询师,社会工作者
http://www.233.com/search/~sb@tmd!nb_2~/rmb^3.1415^911~oie/admin/login.asp(后台二)
注册会计师,计算机二级,计算机等级,单证员,商务师,会计初级职称,经济师, 精算师
注册税务师,房地产估价师,银行从业,审计师,统计师,跟单员,期货从业,证券经纪人
http://www.233.com/search/+cej^lmmops3-/!zss%20(po^_^mm)/admin/login.asp(后台三)
电子商务,项目管理,Oracle,Java,Cisco,Linux,微软,会计硕士,计算机软件水平考试,中考
http://www.233.com/search/[0]aktydw[7][12]/gv9nmncdtrr@!^n/admin/login.asp(学历)
MBA,EMBA,教育硕士,同等学历,法硕,在职硕士,公共管理硕士,工程硕士,成人高考,双学位,考博,研修
http://www.233.com/search/wcg_6[bcfilmstxy]/jsc+8l39}rur@!b^ybgx/admin/login.asp(外语后台)
商务英语,金融英语,GMAT,商务托福,英语三级,MSE,口译笔译,专四专八,实用英语,小语种
经典译文,LSAT,雅思,生活英语
http://www.233.com/search/b[exam-da08]j[8][8]/gv9nmncdtrr@!^n/admin/Login.asp(后台八)
投资建设项目管理师,安全评价师,房地产经济人,公路监理工程师,环境影响评价师,物业管理师,设备监理师,公路造价工程师
独立后台:
http://www.233.com/search/sknd4'ef!(bgy)vp4/f8~zbq{pezg]/admin/Login.asp(报关员)
http://www.233.com/search/qxe@!0gds[zikao]/evpar9y4~eq!z/admin/Login.asp(自考)
http://www.233.com/search/pjnk{dy}kmy4j/233y5boxmars/admin/Login.asp(导游)
http://www.233.com/search/bm2mdnxdv[wxy]/al1rxt^v!ep^n/admin/Login.asp(外销员)
http://www.233.com/search/J(E[G2W[bx]jE309/oELfA0NLJco/Admin/Login.asp(保险)
http://www.233.com/search/[gwy]swoswsEJ/WDxEraoswowsEr/Admin/Login.asp(公务员)
http://www.233.com/search/^xEgb1OkKx[zq]/x1YbWls+{JEs/Admin/Login.asp(证券)
http://www.233.com/search/[kaoyan]ExHCk-730/EUmDb2JLf26[/Admin/Login.asp (考研)
http://www.233.com/search/webTVWMJGaokao/233T-_-TGaokao/Admin/login.asp(高考)
http://www.233.com/search/yiyao_9[dalkdjglkasdh]/yyh1157sdgOJSaDrhq/Admin/Login.asp (执业医师)
http://www.233.com/search/wszgks10)(je%5Ese_(/wxzg10)jrje%5E%5E_dar/admin/Login.asp (卫生资格)
护士,内科主治医师,外科主治医师,妇产科主治医师,初级药士/初级药师/主管药师,中药士/中药师/主管中药师,检验技士/检查技师/主管技师,卫生资格
http://www.233.com/search/jzgc_10[kdjesDw3312sk]/jzmag188sdgOJ54DrYW/admin/Login.asp (建筑工程)
http://www.233.com/search/Accountant_11[kd3wsdhw2sk]/kjmag199sdgOd3J4DrOM/admin/Login.asp (财会考试)

在线考试系统(题库):
http://ks.233.com/eol/Eaxmda_qqwchjofedas/Admin/Login.asp
添加书籍后台
http://www.233.com/search/{book}[exqkammada]/mydreamxcjc/login.asp

漏洞证明:

综合后台:
http://wx.233.com/Search/school/ddkde233Dexffdbvddfd11/aaammmdddffggddk/ddf3233dfdooqnmb.asp

2.png

3.png

QQ拼音截图未命名.png

修复方案:

修改默认后台密码

版权声明:转载请注明来源 qq1281232825@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2013-10-21 15:26

厂商回复:

谢谢你对我们的支持!

最新状态:

暂无