WooYun.org

我国有大量高校采用了卓越电子（www.able-elec.com）的卓越课程中心，到底有多少？访问卓越课程中心联盟（http://www.g2s.cn/）可见一斑。
漏洞公布如下：
1.弱口令
a.普遍将 学号/工号 同时作为用户名与密码
举例：http://cc.bjmu.edu.cn（1310116113:1310116113|1310116114:1310116114|...）| ...
b.存在由程序员疏忽大意留下的弱口令，且这些帐户都是教师权限，可创建课程
举例：test1:test1（http://cc.bjmu.edu.cn | http://cc.xjtu.edu.cn | ...）| test2:test2 | ... | test20:test20
2.个人信息泄露
登陆后进入“修改信息”（/MySpace/PersonalInfo.aspx）即可查看个人详细信息。

3.CSRF
存在多处CSRF，仅举一例：
访问http://cc.sjtu.edu.cn/G2S/MySpace/UserControl/UCRSS1.ashx?OptType=ConfirmRssInfoByID&ID=147843&sname=modified&sfeed=http%3A//jwc.sjtu.edu.cn/rss/rss_notice.aspx%3Fsubjectid%3D198015%26templateid%3D221027
即可将下图中的“教务处通知”改为“modified”，有何利用价值？且看下文。

4.XSS
a.将3中的modified改为<svg onload="alert(document.cookie)" />即可利用CSRF制造储存型XSS。

b.使用发送消息功能（/TeacherSpace/Message/New.aspx），主题、正文皆未过滤，可触发指定用户储存型XSS。

c.在论坛、课程建设等多处皆存在XSS
5.路径遍历
系统采用了ewebeditor，在/ewebeditor/admin/default.aspx页面中使用弱口令admin:admin登陆后台，访问/ewebeditor/admin/upload.aspx?id=1&dir=../&d_viewmode=list，改变参数dir的值，不断添加“../”可实现目录跳转回溯。

6.上传Webshell
在“样式管理”中修改任一样式，添加上传文件类型asp，预览样式，上传图片，webshell即得。

7.后续
查看web.config，如下图

上http://mail.able-elec.com:81/mail/postoffice/login.php，试之，成功。

为了实现发email功能，有必要这样做么？