漏洞详情

披露状态:

2014-08-01: 细节已通知厂商并且等待厂商处理中
2014-08-06: 厂商已经确认,细节仅向厂商公开
2014-08-09: 细节向第三方安全合作伙伴开放
2014-09-30: 细节向核心白帽子及相关领域专家公开
2014-10-10: 细节向普通白帽子公开
2014-10-20: 细节向实习白帽子公开
2014-10-30: 细节向公众公开

简要描述:

某校园办公管理系统通用SQL多处+通用弱口令+任意文上传可getshell影响大量学校

详细说明:

问题厂商
上海瑞聪网络科技有限公司
网站www.rcwl.net
还有一些是无锡尚蠡信息科技有限公司的
他们的书香校园管理系统是一样的,
不知道是不是分公司还是合作者
下面进入正题
百度关键词:书香校园网
或google关键词:inurl:webschool/Book/ 或 技术支持:上海瑞聪网络科技有限公司

xiaoyuan4.PNG


下面就说一些漏洞吧
001x注入漏洞
大约注入漏洞十余处,很多很多,采集了两个作了测试

http://zqzx.mhedu.sh.cn/webschool/Book/news_list.jsp?typeId=book0103 //typeId存在注入
http://zqzx.mhedu.sh.cn/webschool/News/news_list.jsp?typeId=news31 //typeId存在注入
http://zqzx.mhedu.sh.cn/webschool/Book/star.jsp?weekly=201429 //weekly存在注入
http://zqzx.mhedu.sh.cn/webschool/Book/star.jsp?classId=cz201210&monthly=201406 //classId 和monthly存在注入
http://zqzx.mhedu.sh.cn/webschool/Book/user_read.jsp?classId=cz201301&otherType=3 //classId存在注入
http://zqzx.mhedu.sh.cn/webschool/Book/news_list.jsp?classId=zqzx201206&typeId=book03 //classId存在注入
http://zqzx.mhedu.sh.cn/webschool/Book/book_read.jsp?classId=cz201301 //classId存在注入
http://zqzx.mhedu.sh.cn/webschool/Book/class.jsp?classId=cz201105 //classId存在注入
http://zqzx.mhedu.sh.cn/webschool/Book/book_list.jsp?classId=cz201&otherType=1 //classId存在注入
http://www.syzx.fxedu.cn/webschool/Book/news_list.jsp?typeId=book0103
http://www.syzx.fxedu.cn/webschool/News/news_list.jsp?typeId=news31
http://www.syzx.fxedu.cn/webschool/Book/star.jsp?weekly=201429
http://www.syzx.fxedu.cn/webschool/Book/star.jsp?classId=cz201210&monthly=201406
http://www.syzx.fxedu.cn/webschool/Book/user_read.jsp?classId=cz201301&otherType=3
http://www.syzx.fxedu.cn/webschool/Book/news_list.jsp?classId=zqzx201206&typeId=book03
http://www.syzx.fxedu.cn/webschool/Book/book_read.jsp?classId=cz201301
http://www.syzx.fxedu.cn/webschool/Book/class.jsp?classId=cz201105
http://www.syzx.fxedu.cn/webschool/Book/book_list.jsp?classId=cz201&otherType=1


注入测试过程
typeId参数

xiaoyuan1.PNG


weekly参数

xiaoyuan6.PNG


classId参数

xiaoyuan7.PNG


xiaoyuan8.PNG


下面是得到的信息,包括学生的成绩,学号,姓名,班级等敏感信息
如果有了这个信息是不是对学生家长诈骗更容易了。

xiaoyuan5.PNG


xiaoyuan2.PNG


xiaoyuan3.PNG


管理员等信息

xiaoyuan9.PNG


采取了一些网站供cncert进行测试

http://ltzx.zhedu.net.cn/webschool/Book/
http://www.jsgyve.com/webschool/Book/
http://zqzx.mhedu.sh.cn/webschool/Book/
http://beijiao.net.cn/webschool/Book/
http://www.zd7s.net:81/webschool/Book/
http://www.sh-luochuan.net/webschool/Book/
http://58.214.27.195/webschool/Book/
http://ltzx.zhedu.net.cn/webschool/Book/
http://www.msxl.pte.sh.cn/webschool/Book
http://222.134.89.202:88/Book/
http://dct.cqbxzx.com/webschool/Book/
http://www.wqxx.fxedu.cn/webschool/MySpace/


002x 通用弱口令漏洞
这个漏洞只存在上海瑞聪网络科技有限公司中
通用用户名和密码是admin/rcadmin
下面是存在漏洞的网站

http://zqzx.mhedu.sh.cn/webschool/MySpace/
http://www.syzx.fxedu.cn/webschool/NewsMng/
http://www.zrwy.pte.sh.cn/webschool/MySpace/
http://xjxx.qpedu.cn/webschool/MySpace/
http://www.clxx.pte.sh.cn/webschool/login
http://www.jcsyxx.pudong-edu.sh.cn/webschool/MySpace/
http://mjcxx.edu.sh.cn/webschool/MySpace/
http://www.sjhxx.net/webschool/MySpace/
http://www.stxx.fxedu.cn/webschool/MySpace/
http://www.ptsunshine.cn/webschool/MySpace/


登陆成功截图

xiaoyuan17.PNG


003x任意文件上传可以getshell
主要是后台可以更改配置,修改任意上传文件类型,导致可是上传jsp拿到shell

xiaoyuan18.PNG


xiaoyuan14.PNG


得到webshell

xiaoyuan12.PNG


漏洞证明:

shell图

xiaoyuan12.PNG


影响数量很大,能走个前台不

修复方案:

验证过滤

标签: none

评论已关闭