某省教育厅某下属网站漏洞合集可修改上报教育部就业率,千万大学生数万就业单位免费个人信息网站泄露 |
已交由第三方合作机构(cncert国家互联网应急中心)处理 |
问题网站是浙江省教育厅下属的网上就业市场大概有jboss控制台泄露、sqli、xss问题
但是从这个console不能拿到shell,msf利用失败虽然这样还是获得了一个关键信息:管悝后台的地址
随后结合这两个注入点:
然后通过猜解数据库和表结构,确定管理员表为EJ**HOME中的ADMIN****. 将数据dump下来获得几个admin账号及各校就业处工作站的账号
用一个账号登陆后台,功能还是很多的
上报教育厅和教育部的地方:
各校工作站账号可在管理员控制界面操作将学生信息导出荿xls
公司信息、offer信息、短信后台
注意公司信息里面是可以得到md5后的hash,可用来猜解密码
邮件平台可附带附件挂马,就不截图了
最后还有几個xss问题例子:
2. 个人简历处存储型xss,可插入联系方式等地方可以拿来打用人单位和管理员,拿敝校妹子做个示范
给jmx-console加访问控制管理员用強密码
另外代码需要重新review,sqli和xss不少或者干脆用waf
? 2014 玉溪农业职业技术学院
地址:玊溪市红塔区研和街道向家庄41号 邮编:653106 电话传真: 招生就业:
版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请点击这里与我们联系,我们将及时删除。