关于“高校现代教学管理系统漏洞”的攻击与防范

最新推荐文章于 2024-05-11 12:30:00 发布
最新推荐文章于 2024-05-11 12:30:00 发布
阅读量2.6k 收藏
点赞数
前段时间在群里看到一哥们分享了一个“高校现代教学管理系统 漏洞 ”,方法很简单,很快就能拿到webshell。

原理和fck差不多,也是利用上传功能。

ftb.imagegallery. aspx 这是一个具有上传功能的目录,添加在该网站域名后即可打开。
之后上传带有可解析的asp马(需要解析改后缀,为安全起见就不公开了。)便可直接访问。
截图如下:
首先:搜索
第二步:找到相关可上传的站点域名
上传成功。
第三步:访问该网马的目录
证明:

(上面的图都懒得打码了  一看images,全是马,黑阔们,你们慢点。别把服务器搞成“养马场”了!)

 

解决方案:(自己想的 高手勿喷)

1、换个管理系统(最果断,也是最好的解决方式。)

2、如果网站管理员懒得换可以把”ftb.imagegallery.aspx”这个的路径更改一下。(其实这个不建议才用,毕竟如果真的想搞,直接扫目录也会扫出来的!)

3、设置访问权限,或者换成错误页面。

4、停止解析一些被更改后缀的大马。

 

个人的一些简单总结,网上也应该会有。如有不对的地方,还请提出指正。

 

By:Blackeagle www.blackeagle.name/

提拉米苏x
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
谈谈我是如何攻破教务系统拿到CVE证书的
weixin_43815032的博客
02-20 3192
下面讲述的是破壳学院学员拿到CVE证书的经历 学员名称:Polar_Peak 咳 咳~下面开始正式分享 —————————————————————————————————————— 某日,在别人都准备复习的时候,我默默打开学校门户系统 ...
基于安全漏洞扫描的校园网告警系统的开发与设计
04-16
为了及时发现并防范校园网中各个服务器的漏洞,文中提出了一种校园网服务器扫描告警系统,其利用开源的安全检测工具构造,能够定时扫描需要监控的服务器,从硬件到软件进行全方位检测,从而及时发现异常现象并进行...
高校现代教学管理系统 C#
06-28
上传为未完成版本。求助高手完成。谢谢各位朋友支持~~
正方高校现代教学管理信息系统概述
08-23
信息系统本着高起点高标准、既适应当前又考虑未来发展的原则,具有界面友好、易于掌握、操作简单、功能齐全、安全可靠、运用广泛等特点。
关于新正方教务系统(湖北工程学院)的one day越权漏洞的说明
最新发布
ZL_1618的博客
05-11 890
漏洞基于湖北工程学院教务管理系统进行演示,漏洞覆盖新正方教务系统8.0以下版本,为本人一年前提交的漏洞,所以并非0day漏洞漏洞影响范围巨大,几乎涉及国内一半高校的教务系统,包含武汉大学、浙江工商大学等等而且据本人推测,此漏洞难以完全修复,因为我怀疑在该程序的设计阶段,权限验证模块与真实功能模块耦合度过高,所以到目前如此多的功能,已经难以完全修复所有页面了此漏洞仅供学习,请勿做任何违法的事情。本人在发布漏洞前已和本校教务系统及公司提前沟通,并已修复了较为重要的功能模块。
某教务管理系统APP逆向分析之协议漏洞 2018·2
Locksk的博客
10-08 2074
0x01前言 马上开学了,整理一下假期自己研究的成果,希望在安卓逆向分析这条路上能走得更远。 声明:文章仅供技术研究,切勿非法利用! 0x02功能协议分析 app登录后进入appCenter的界面,内有九个图标   1.“我的成绩”协议分析 用fd抓包工具,抓取手机的http和https协议。 这里我登录完帐号后,点击“我的成绩”按钮,fd抓到了这个url请求。 发现这...
正方教务管理系统数据库任意操作漏洞 _ 乌云漏洞库,乌云镜像站, WooYun 漏洞库, WooYun 镜像站1
08-03
正方教务管理系统数据库任意操作漏洞 | 乌云漏洞库,乌云镜像站, WooYun 漏洞库, WooYun 镜像站Home (/) / Bugs (/bug/ind
高校食堂食品安全管理风险与防范.pdf
11-21
综上所述,高校食堂的食品安全管理是一项系统工程,需要从硬件、管理、人员和监管等多方面着手,全面提升食品安全水平,保障师生的饮食安全。只有这样,高校才能构建起坚实的食品安全防线,促进校园的和谐稳定发展。
高校大学生助学贷款的风险防范与管理.doc
09-30
总结,高校大学生助学贷款的风险防范与管理是一项系统工程,需要政府、学校、银行和学生四方共同努力。通过提高风险识别能力,完善风险管理机制,以及制定针对性的政策建议,我们可以为助学贷款的健康运行提供坚实...
高校校园网网络安全隐患与防范策略.pdf
09-20
高校校园网络安全隐患与防范策略是当前信息技术时代下,高等教育领域亟待解决的问题。随着计算机网络技术的迅速发展,高校校园网已成为教学、科研和生活的重要平台,但同时也面临着诸多安全挑战。 首先,缺乏网络...
正方教务系统新版sql注入漏洞利用工具
01-19
相信研究过正方教务系统的朋友看到过网上传播的比较多的一篇文章提的/service.asmx中的BMCheckPassword存在注入,然而现在大多数正方教务已经将BMCheckPassword移除了,导致漏洞无法利用。本人研究了/service.asmx中的其它接口,发现zfcwjk1存在同样的注入漏洞,特将注入方法写成工具供大家学习参考。 zfcwjk1似乎是一个财务类的确认接口,利用起来稍微麻烦点,需要一个目标学校的任意学号。 程序执行后,会需要用户输入三个参数。分别是: 1.目标网址 2.目标学校的任意学号 3.年份(估计是用来确定这个学号所在年份的情况,随便填个2012或者2013,不行再换) 若提示“cannot access target url”则可能是目标网址填错了或者教务系统已经将/service.asmx移除了,如果是/service.asmx被移除的话漏洞就没法再利用了。 另外,若是校内网使用则建议挂代理。。。
ftb.imagegallery.aspx完整源码
05-29
FreeTextBox1.6的图片上传和选择页面
【今天黑一下学校教务系统】某学校渗透测试远程命令执行(已授权)
shandongjiushen的博客
02-07 2359
我和小伙伴们都惊呆了
redirect重定向中可以带参数吗_挖洞经验 | 利用开放重定向漏洞劫持GitHub Gist账户...
weixin_39602976的博客
11-29 490
近期,我针对GitHub做了一些安全测试,特别对其不同的CSRF token进行了绕过测试,在此过程中,我顺带研究了urls生成的各种方法函数,希望从中发现用来创建token的相关方法,最后发现了其中的一个开放重定向漏洞,利用该漏洞可以成功劫持GitHub Gist账户。漏洞收获了$10,000的奖励。漏洞发现在我测试的urls生成方法中,有一个名为url_for的方法,它通常被用来生成...
路由跳转遇到:Redirected when going from “/?redirect=%2FRegister“ to “/Register“ via a navigation guard.
qq_45228330的博客
04-07 1万+
路由跳转遇到:Redirected when going from “/?redirect=%2FRegister” to “/Register” via a navigation guard. 、在登录页面添加了个注册按钮,想实现跳转到注册页面的功能,但是老是报错Redirected when going from “/?redirect=%2FRegister” to “/Register” via a navigation guard.百度了一下,有说是版本太高的问题,有说别的,后来发现,其实是自己写
正方高校教务管理系统漏洞修复
fengling132的专栏
06-15 5805
正方高校教务管理系统是一款学生成绩,选课管理系统,目前有众多高校使用这款教务管理系统。近期该系统爆出了一个高危漏洞攻击者可以利用该漏洞轻易获取网站webshell权限。下面给出漏洞的情况和修复方法: 漏洞类型:上传漏洞 漏洞文件:/ftb.imagegallery.aspx 该漏洞文件没有任何权限限制,访问者可以直接访问该文件,从而通过文件自有的上传功能,来上传构造好的可以解析的后门文件。
vulfocus 靶机环境搭建部署
热门推荐
csd_ct的专栏
11-05 1万+
vulfocus 本质上是一个漏洞集成平台,里面集成了大量的CVE漏洞环境,采用的是docker环境部署安装,使用起来方便,可作为一个优秀靶场环境,提升实战能力。可本地部署安装,也可以直接使用线上环境vulfocus (fofa.so)http://vulfocus.fofa.so/#/login?redirect=%2Fdashboard 类似的漏洞集成环境,如vulhub也是一个不错的实验环境,不过vulfocus的漏洞都比较新,但数量少,vulhub收集的漏洞个数较多,但大多...
FreeTextBox控件上传图片到指定的绝对路径的改进
J_JAKE(陆冷飞)的专栏
09-01 3327
大家都用FreeTextBox控件,本人也非常喜欢用它,特别是发布图文信息的时候非常有用,上传图片的小插件是ftb.imagegallery.aspx里面有源代码,我们可以更改,比如添加只有登录才能访问啊,对上传图片的类型进行检测啦(该控件已有的图片类型检查室已检查文件名后缀来进行的,会存在安全隐患,所以必须自己写),呵呵,好像跑题了,今天的重点是要让图片上传到指定的绝对路径。因为本控件,原始的代
高校教学管理系统:自动化与信息管理
"兰州商学院教学管理系统1是一款应用于高校教学管理的计算机化系统,旨在辅助教务人员进行学籍、教师、课程和成绩等管理工作,提高工作效率并减少错误。该系统由任志芳(09信管一班,学号20090702115)进行设计,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值