HanDs
管理员

[7月漏洞公开] 263企业会议某缺陷导致可控制大量企业会议 



详细说明:

263企业会议管理系统

code 区域
http://cms.263.net/
账号:[email protected]
密码:123456



1.jpg



企业会议主持人密码,参会人密码:

2.jpg





会议记录,账单等:

2.5.jpg





联系人信息:

http://cms.263.net/queryContactInfo?ID=37582





这里ID可越权,可遍历联系人信息。

2.6.jpg









管理员配置:

3.jpg





编辑管理员权限,密码:

http://cms.263.net/control-queryManagerById?magID=478

4.jpg





magID可遍历,可修改其他公司管理员账号的密码。

code 区域
http://cms.263.net/control-updateManager





修改以后可成功登录:

code 区域
[email protected] 
123456



5.jpg





code 区域
[email protected]
123456



6.jpg





code 区域
[email protected]
123456



7.jpg





影响大量企业管理账号,可控制企业会议。



漏洞证明:

修复方案:


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
263 企业会议某缺陷导致可控制大量企业会议
#1楼
发帖时间:2016-7-15   |   查看数:0   |   回复数:0
游客组
快速回复