记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

卓越课程中心弱口令+个人信息泄露+CSRF+XSS+路径遍历+上传Webshell+其它后续影响

2014-05-29 21:35

我国有大量高校采用了卓越电子(www.able-elec.com)的卓越课程中心,到底有多少?访问卓越课程中心联盟(http://www.g2s.cn/)可见一斑。



漏洞公布如下:



1.弱口令



a.普遍将 学号/工号 同时作为用户名与密码



举例:http://cc.bjmu.edu.cn(1310116113:1310116113|1310116114:1310116114|...)| ...



b.存在由程序员疏忽大意留下的弱口令,且这些帐户都是教师权限,可创建课程



举例:test1:test1(http://cc.bjmu.edu.cn | http://cc.xjtu.edu.cn | ...)| test2:test2 | ... | test20:test20



2.个人信息泄露



登陆后进入“修改信息”(/MySpace/PersonalInfo.aspx)即可查看个人详细信息。



a.png





3.CSRF



存在多处CSRF,仅举一例:



访问http://cc.sjtu.edu.cn/G2S/MySpace/UserControl/UCRSS1.ashx?OptType=ConfirmRssInfoByID&ID=147843&sname=modified&sfeed=http%3A//jwc.sjtu.edu.cn/rss/rss_notice.aspx%3Fsubjectid%3D198015%26templateid%3D221027



即可将下图中的“教务处通知”改为“modified”,有何利用价值?且看下文。



b.png





4.XSS



a.将3中的modified改为<svg onload="alert(document.cookie)" />即可利用CSRF制造储存型XSS。



c.png



d.png





b.使用发送消息功能(/TeacherSpace/Message/New.aspx),主题、正文皆未过滤,可触发指定用户储存型XSS。

e.png



f.png





c.在论坛、课程建设等多处皆存在XSS



5.路径遍历



系统采用了ewebeditor,在/ewebeditor/admin/default.aspx页面中使用弱口令admin:admin登陆后台,访问/ewebeditor/admin/upload.aspx?id=1&dir=../&d_viewmode=list,改变参数dir的值,不断添加“../”可实现目录跳转回溯。



g.png





6.上传Webshell



在“样式管理”中修改任一样式,添加上传文件类型asp,预览样式,上传图片,webshell即得。



h.png



i.png





7.后续



查看web.config,如下图

j.png



上http://mail.able-elec.com:81/mail/postoffice/login.php,试之,成功。

k.png



为了实现发email功能,有必要这样做么?

漏洞证明:

见上文。

修复方案:

慢慢来。


知识来源: www.wooyun.org/bugs/wooyun-2014-051328

阅读:371178 | 评论:1 | 标签:xss CSRF

想收藏或者和大家分享这篇好文章→复制链接地址

“卓越课程中心弱口令+个人信息泄露+CSRF+XSS+路径遍历+上传Webshell+其它后续影响”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云