VULHUB ™

### 简要描述： 正方教务系统某目录权限设置不当，有可能通过猜测文件名获得用户名和密码。 ### 详细说明： 正方教务系统一些关键操作都会记录log，而log所在默认位置就是根目录/log。 以我们学校为例： [<img src="https://images.seebug.org/upload/201312/05182348bd073b20602d662c23e8eb781c7a5c89.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/05182348bd073b20602d662c23e8eb781c7a5c89.png) 里面的文件命名格式是 "YYYY-MM-DD"+"-log.txt"或"YYYY-MM-DD"+"-Errorlog.txt" [<img src="https://images.seebug.org/upload/201312/051744212c623f4c4c97daf0768ff84619e9fd8d.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/051744212c623f4c4c97daf0768ff84619e9fd8d.png) 从zjdx.dll里面也可以找到关于log文件建立的代码： [<img src="https://images.seebug.org/upload/201312/0517463788dce9adcdcfb3d7df6a0d71ffe27a74.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/0517463788dce9adcdcfb3d7df6a0d71ffe27a74.png) 在正方教务的安装文档中，并没有提示学校要限制log目录的访问，导致漏洞的存在。 ### 漏洞证明：...

### 简要描述： 正方教务系统某目录权限设置不当，有可能通过猜测文件名获得用户名和密码。 ### 详细说明： 正方教务系统一些关键操作都会记录log，而log所在默认位置就是根目录/log。 以我们学校为例： [<img src="https://images.seebug.org/upload/201312/05182348bd073b20602d662c23e8eb781c7a5c89.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/05182348bd073b20602d662c23e8eb781c7a5c89.png) 里面的文件命名格式是 "YYYY-MM-DD"+"-log.txt"或"YYYY-MM-DD"+"-Errorlog.txt" [<img src="https://images.seebug.org/upload/201312/051744212c623f4c4c97daf0768ff84619e9fd8d.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/051744212c623f4c4c97daf0768ff84619e9fd8d.png) 从zjdx.dll里面也可以找到关于log文件建立的代码： [<img src="https://images.seebug.org/upload/201312/0517463788dce9adcdcfb3d7df6a0d71ffe27a74.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/0517463788dce9adcdcfb3d7df6a0d71ffe27a74.png) 在正方教务的安装文档中，并没有提示学校要限制log目录的访问，导致漏洞的存在。 ### 漏洞证明： log记录了登录用户的关键行为，提交过的参数，或数据库语句。 通过default_ldap.aspx进行登录的用户，他们的账号密码都会被写入log中。 [<img src="https://images.seebug.org/upload/201312/051811399644d79d6b5c0998734a7b7f059f09d5.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/051811399644d79d6b5c0998734a7b7f059f09d5.png) 在log.txt中通过搜索"passwd"就能找到大量用户密码。 [<img src="https://images.seebug.org/upload/201312/05181523c66be1f1beac3a17a4d67061f0d2c7bf.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/05181523c66be1f1beac3a17a4d67061f0d2c7bf.png) [<img src="https://images.seebug.org/upload/201312/05181544e8088ebb05891491371b238617c56777.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/05181544e8088ebb05891491371b238617c56777.png) 花点时间就能找到jwc01的密码了。 [<img src="https://images.seebug.org/upload/201312/051817492ff6055c97b916c50939f6b31c0df51b.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/051817492ff6055c97b916c50939f6b31c0df51b.png) baidu随便搜了几个用正方教务的学校，漏洞都是存在的。 ``` http://jwch.swuyc.edu.cn/log/2013-11-03-log.txt http://xuanke.ncepu.edu.cn/log/2013-11-03-log.txt http://202.116.193.32/log/2013-10-23-log.txt http://ea.uestc.edu.cn/log/2013-09-30-log.txt ``` 上面主要分析了账号密码泄露的问题，其它关键信息就暂且不论，但也是很重要滴~ (注：学校一般在选课的时候才让同学通过default_ldap.aspx进行访问，所以在选课高峰期搜集密码比较靠谱~)