北京邮电大学研究生成绩查询服务器上传漏洞可getshell,服务器极有可能已经沦陷

漏洞概要

缺陷编号:WooYun-2013-020083

漏洞标题:北京邮电大学研究生成绩查询服务器上传漏洞可getshell,服务器极有可能已经沦陷

相关厂商:北京邮电大学

漏洞作者:Aofa

提交时间:2013-03-15 12:13

公开时间:2013-04-29 12:14

漏洞类型:内部绝密信息泄漏

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2013-03-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-04-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

身边一个考研的朋友无意间在网上看到了某些不法份子发布的可修改研究生入学统一考试的成绩的广告,声称可以入侵学校服务器去修改成绩,我朋友觉的如此严谨高等级的全国性质的统一考试应该不会出现这样的情况吧.他跟我讲了这个事情后我找了我另外一个朋友一起来研究,后来决定从他比较喜欢的一个大学入手,然后就发现了该漏洞.声明:出于对千千万万考研学子们的好心才来研究,不希望有人通过这样的手段去制造不公平去坑人.千万不要来查水表,没有任何恶意,只是希望可以有一个更公平的环境,给所有的大学提个醒,希望学校可以加强戒心,保护好重要数据,给学生们一个公平平台.(PS:最后的结论是:成绩"因该"是可以改但是不会起实际性的作用,假如真改动了成绩虽然可以查到变动后的成绩但是这和把成绩页面保存成HTML直接本地改成绩源码哄自己开心是一样的.虽然修改成绩没有实质作用,但是这漏洞要是被坏人利用来骗一些想要投机取巧的学生的钱是一点问题也没有.虽然投机取巧是不可取的,但是也不能让不法分子去利用这漏洞去坑蒙拐骗)

详细说明:

http://yjzs.grs.bupt.cn/sphoto/bupt/login.htm 照片上传系统表面关闭了.

但是http://yjzs.grs.bupt.cn/sphoto/bupt/login1.htm 还是可以直接访问

然后的然后.....

漏洞证明:

分站还有多处注入漏洞.还发现了这个不知道神马东东..

修复方案:

应该很好修复吧.

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

评价

  1. 2010-01-01 00:00 毕月乌 白帽子 | Rank:73 漏洞数:8)

    忽略?好吧……北邮赢了~