HanDs
管理员

[7月漏洞公开] 四川省30所高校官方APP任意账户密码重置/上万大学生姓名/手机/教务处账号密码等信息泄漏 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

自己学校在用,顺手发现…… 然后就顺带友情检测了一下

详细说明:

1、任意账户密码修改

忘记密码->抓包->发现包没有任何加密,短信的验证码也只有4位,没有时间限制,没有token,爆破之



code 区域
POST /ligong/rest/user/resetPassword HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 133
User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.0; )
Host: **.**.**.**
Connection: close
Accept-Encoding: gzip

schoolId=0&userId=0&from=an&version=V1.3.107&tel=13888888888&password=aaca0f5eb4d2d98a6ce6dffa99f8254b&smsShortCode=0082&encryption=1



为了测试我把官方帐号 密码改成了 avatar

2、泄漏学生姓名、手机号、所在高校、学院、班级、性别、教务处帐号、教务处密码

3、强改任意用户的昵称

修改用户名直接抓包 没有多余验证,此条危害不大只用作恶作剧了,不过如果有人批量搞的话可能就会严重点

4、任意UID查信息(可批量遍历)



code 区域
http://**.**.**.**/ligong/rest/user/queryOther?from=an&otherUserId=151711





UserID排到20W+ 但实际大概有6W+用户

5、查通讯录(整个专业的联系ID、姓名和联系方式)

code 区域
http://**.**.**.**/ligong/rest/contact/queryContactList?schoolId=1&userId=41494&from=an&version=1.3.502&classGradeId=XXXX



XXXX为遍历,我测试最大是6509(未准确验证)





先随便查个

随便查一个.png





详细信息.jpg





登录教务处验证.jpg





在教务处又能获得其他很多数据……我就不继续深入了……



再来一把.jpg





写poc 批量验证,(代码太丑我就不发了 原理上面说了)

有效信息 69114个用户(算测试)(未深入验证)





受影响高校

code 区域
成都理工大学
四川艺术职业学院
成都信息工程大学银杏酒店管理学院
成都职业技术学院
成都体育学院
西华大学
四川城市职业学院
四川国际标榜职业学院
四川文化产业职业学院
成都文理学院
成都信息工程大学
乐山师范学院
四川大学锦城学院
西南交通大学希望学院
电子科技大学成都学院
四川汽车职业技术学院
成都中医药大学
西安铁路职业技术学院
西南财经大学天府学院
四川商务职业学院
四川华新现代职业学院
四川希望汽车职业学院
四川工商学院
四川管理职业学院
西北工业大学明德学院
西南财经大学
四川文化传媒职业学院
四川长江职业学院
成都农业科技职业学院
宜宾学院





漏洞证明:

泄漏的数据.png





手机13888888888.jpg







其余在 详细说明中。

修复方案:

你们比我更专业,去年社团去成都软件园的时候,我觉得那里环境好好啊!!


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
四川省 3 高校 官方 A PP
#1楼
发帖时间:2016-7-16   |   查看数:0   |   回复数:0
游客组
快速回复