漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-066638
漏洞标题:厦门大学旧系统泄漏大量学生信息
相关厂商:厦门大学
漏洞作者: JohnWong
提交时间:2014-06-30 14:23
修复时间:2014-08-14 14:24
公开时间:2014-08-14 14:24
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:8
漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-06-30: 细节已通知厂商并且等待厂商处理中
2014-06-30: 厂商已经确认,细节仅向厂商公开
2014-07-10: 细节向核心白帽子及相关领域专家公开
2014-07-20: 细节向普通白帽子公开
2014-07-30: 细节向实习白帽子公开
2014-08-14: 细节向公众公开
简要描述:
厦门大学录取查询系统存在SQL注射漏洞,导致大量学生信息泄漏
详细说明:
python sqlmap.py -u "http://121.192.179.132:81/ems/index.php?m=apply&c=apply&a=search" --data="name=admin&id_card=admin&dosubmit=1"
数据库用的Mysql,账号密码拿到了但是限制localhost登录无法远程登录。大量数据在ems库,敏感信息包括admin和student两个表。密码加密方式采用的discuz的方式,md5(md5($pass).$salt)。管理员登录入口没找到,admin表暂时没什么用。学生信息包含了许多敏感信息,包括姓名、生日、邮箱、电话、住址、学号、身份证号等。厦大的学生账号默认是学号/身份证号码后六位,如果没有修改过密码,就能用这个登录没有限制内网访问的各种系统。
漏洞证明:
sqlmap拿到的数据库ems:
拿到部分的学生数据:
随便登录下http://121.192.179.132:81/ems/index.php?m=student&c=index
可以查查成绩、考勤。没有王道啊不幸福啊!
登录i.xmu.edu.cn之后可以做更多事情。比如查看一卡通记录、打饭记录:
修复方案:
参数化查询,默认密码首次登录必须修改。
版权声明:转载请注明来源 JohnWong@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2014-06-30 14:32
厂商回复:
通知用户处理中
最新状态:
暂无