当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094014

漏洞标题:某市教育网办公平台getshell(涉及教育局及多所学校)

相关厂商:鸿通信技术公司

漏洞作者: 火焰真菌

提交时间:2015-01-30 15:16

修复时间:2015-04-30 18:48

公开时间:2015-04-30 18:48

漏洞类型:地下0day/成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-30: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某市教育网办公平台批量shell(涉及教育局及多所学校)

详细说明:

《1》办公管理平台是实现学校的数字化办公及便捷的校务管理和教学交流的平台,也是可集成于教育管理交流多功能网络服务平台。
办公管理平台与教育管理交流多功能网络服务开放平台、宣传、教育教学平台互通,实现数据及管理互通,实现了与学校版平台的互通互联和数据同步,同时也增强整个系统易用性。
办公管理平台实现了统一验证服务,在教育管理交流多功能网络服务平台中能实现数字化办公管理。
《2》通过百度检索使用该系统的用户。

百度搜索.GIF


《3》部分系统登录地址:
http://jnqlshy.net:8080/
http://xdoa.whjqedu.cn/
http://60.216.51.199:8080/
http://www.jncqslxx.com:8888/
http://119.164.227.230:8080/
http://221.214.53.91:8080/
http://www.tqjy.com.cn:8080/
http://www.cqsyxx.cn:8080/
http://www.jnjwy.net:8080/
http://www.jntqsy.cn:8080/
http://www.nxzxx.cn:8081/
http://www.jn27z.net:8090/
http://www.jnszjy.net/weboa/
《4》系统登录界面

登录界面.GIF


测试发现:学生的账号为S开头,老师及政府人员为T开头。
暴力测试t0001-t0700 密码为123456的弱口令账号。通过返回字符长度及状态可轻易判断弱口令的账号。

爆破.GIF


登录后界面显示:

登陆后.GIF


登陆后可查看邮件、公文、日程、通知等敏感信息。

查看个人信息.GIF


下面进行getshell操作。
在个人信息处获取userid,以待备用

查看userid.GIF


在我的文档-类别管理-添加一个类别。

新建文档.GIF


在我的文档-功能列表-上传文档处添加一个.txt文档,然后抓包修改后缀为aspx。

上传木马抓包更改后缀.GIF


在我的文档中查看该木马上传成功,此时抓包查看Typeid,以待备用。

查看文档类型id.GIF


分析构造木马的地址为:\UserUpload\userid\MyDocument\Typeid\木马名称。
菜刀连之:

菜刀连.GIF


下面放其他几个已shell的地址。

其他shell.GIF


其他shell2.GIF


漏洞证明:

《1》办公管理平台是实现学校的数字化办公及便捷的校务管理和教学交流的平台,也是可集成于教育管理交流多功能网络服务平台。
办公管理平台与教育管理交流多功能网络服务开放平台、宣传、教育教学平台互通,实现数据及管理互通,实现了与学校版平台的互通互联和数据同步,同时也增强整个系统易用性。
办公管理平台实现了统一验证服务,在教育管理交流多功能网络服务平台中能实现数字化办公管理。
《2》通过百度检索使用该系统的用户。

百度搜索.GIF


《3》部分系统登录地址:
http://jnqlshy.net:8080/
http://xdoa.whjqedu.cn/
http://60.216.51.199:8080/
http://www.jncqslxx.com:8888/
http://119.164.227.230:8080/
http://221.214.53.91:8080/
http://www.tqjy.com.cn:8080/
http://www.cqsyxx.cn:8080/
http://www.jnjwy.net:8080/
http://www.jntqsy.cn:8080/
http://www.nxzxx.cn:8081/
http://www.jn27z.net:8090/
http://www.jnszjy.net/weboa/
《4》系统登录界面

登录界面.GIF


测试发现:学生的账号为S开头,老师及政府人员为T开头。
暴力测试t0001-t0700 密码为123456的弱口令账号。通过返回字符长度及状态可轻易判断弱口令的账号。

爆破.GIF


登录后界面显示:

登陆后.GIF


登陆后可查看邮件、公文、日程、通知等敏感信息。

查看个人信息.GIF


下面进行getshell操作。
在个人信息处获取userid,以待备用

查看userid.GIF


在我的文档-类别管理-添加一个类别。

新建文档.GIF


在我的文档-功能列表-上传文档处添加一个.txt文档,然后抓包修改后缀为aspx。

上传木马抓包更改后缀.GIF


在我的文档中查看该木马上传成功,此时抓包查看Typeid,以待备用。

查看文档类型id.GIF


分析构造木马的地址为:\UserUpload\userid\MyDocument\Typeid\木马名称。
菜刀连之:

菜刀连.GIF


下面放其他几个已shell的地址。

其他shell.GIF


其他shell2.GIF


修复方案:

no

版权声明:转载请注明来源 火焰真菌@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝