好久的缝隙了,厂商是 ,比来零理博客发觉那0day还能用就发布下[分享] 电大在线远程教学平台漏洞(秒杀全国电大)。
多个打针缝隙,过滤了and等但能绕过,数据库连接建设文件透露,肆意文件上传等。。
细致申明第一手机网:电大教学计划,
一些注入BUG加默认路径问题,满是电大类机构。之前数据连接的inc文件.可用下载东西下载获得。上面同一安拆的**所以下面服上根基都在那个路径搭建起人人时时处处学习的平台,:D:\ \odbc.inc,此刻试过不可了。此刻有些**升级成了 版本,但注入缝隙等都还在。
缝隙证明:
谷歌搜刮:D:\ \odbc.inc
通知布告处上传。
权限太大,提权简单,但都内网。
打针点蛮多,雷同
附上**布局:
省略一千句。
//更改权限代码消息后请更改\ mon.inc文件!
li[0] = “后**理目次”
li[1][0] = “网站统计办理”
li[1][1][0] = “平*运转根基数据”
li[1][1][1] = “站点统计阐发; basic/counter_index.php;11″
li[1][1][2] = “用户统计阐发;/newstat/use**nfo/counter_index1.php;11″
li[1][1][3] = “浏览器统计阐发; basic/counter_browser.php;11″
li[1][1][4] = “*作系通盘计阐发; basic/counter_os.php;11″
li[1][1][5] = “拜候来路表; basic/counter_from.php;11″
li[1][1][6] = “年报表; basic/counter_year.php;11″
li[1][1][7] = “月报表; basic/counter_month.php;11″
li[1][1][8] = “日报表; basic/counter_day.php;11″
li[1][1][9] = “年、月、日报表查询; basic/counter_search.php;11″
li[1][2][0] = “平*资流数据”
li[1][2][1] = “点击数排行榜;/newstat/new/co**setop10.php;12″
li[1][2][2] = “文章上保守计;/newstat/topic_*****/index.php;12″
li[1][2][3] = “**电大下发资流统计;/newstat/xwtj/look.php;12″
li[1][2][4] = “配套资流统计;/newstat/xwtj/reso**ceself.php;12″
li[1][2][5] = “自建资流统计;/newstat/xwtj/reso**ceself1.php;12″
li[1][2][6] = “共享资流统计;/sharefile*****/showUserBrows.php;12″
li[1][3][0] = “行为统计数据”
li[1][3][1] = “用户行为统计;/newstat/use**nfo/index3.php;13″
li[1][3][2] = “课程逗留时间统计;/newstat/root/itime.php;13″
li[1][4][0] = “论坛数据”
li[1][4][1] = “论坛总体环境表;/newstat/article/counter_index2.php;14″
li[1][4][2] = “泛论坛排行榜;/newstat/article/article_total.php;14″
li[1][4][3] = “公共论坛排行榜;/newstat/article/article_p lic.php;14″
li[1][4][4] = “课程论坛排行榜;/newstat/article/article_co**se.php;14″
li[1][4][5] = “查询;/newstat/root/readnum.php;14″
li[2][0] = “网站办理”
li[2][1][0] = “参数设放”
li[2][1][1] = “**参数;/config/config.php?n=******;21″
li[2][1][2] = “ODBC参数;/config/config.php?n=odbc;21″
li[2][1][3] = “JWODBC参数;/config/config.php?n=jwodbc;21″
li[2][1][4] = “论坛参数;/config/config.php?n=forum;21″
li[2][1][5] = “用户行为统计ODBC参数;/config/config.php?n=odbc_userstat;21″
li[2][2] = “在线查询拜访;/research/research_index.php;22″
li[3][0] = “教务办理”
li[3][1][0] = “人员办理”
li[3][1][1] = “注册新用户;/reg/reg.php;31″
li[3][1][2] = “浏览学生用户;/reg/list.php?usertype=1;31″
li[3][1][3][0]= “浏览教师用户”
li[3][1][3][1]= “浏览全数;/reg/list.php?usertype=2;31″
li[3][1][3][2]= “未验证;/reg/list.php?v=1 31″
li[3][1][3][3]= “未验证;/reg/list.php?v=0 31″
li[3][1][4][0]= “浏览教师(学生)用户”
li[3][1][4][1]= “浏览全数;/reg/list.php?usertype=1 31″
li[3][1][4][2]= “未验证;/reg/list.php?usertype=1 31″
li[3][1][4][3]= “未验证;/reg/list.php?usertype=1 31″
li[3][1][5]= “浏览办理员用户;/reg/list.php?usertype=3;31″
li[3][1][6]= “查询用户;/reg/search.php;31″
li[3][1][7]= “点窜用户暗码 ;/reg/gaimima.php?;31″
li[3][2] = “教师权限办理;/**ghts/listuser.php;32″
li[3][3] = “办理员权限办理;/**ghts/list*****.php;33″
li[3][4][0] = “教材办理”
li[3][4][1] = “出版社办理;/schoolbook/pressma****.php;34″
li[3][4][2] = “教材消息办理;/schoolbook/**ma****.php;34″
li[3][4][3] = “专业课程教材办理;/schoolbook/planma****.php;34″
li[3][5][0] = “教学计划开/关|维护”
li[3][5][1] = “教学计划开/关;/*****user/*****plan.php;35″
li[3][5][2] = “教学计划维护;/plan/index.php;35″
li[4][0] = “课程端办理”
li[4][1] = “文章办理;/file_post/topic_*****/index.php;41″
li[4][2][0] = “论坛办理”
li[4][2][1] = “论坛版块办理;/cl /forum/*****/category/index.php;42″
li[4][2][2] = “论坛版从办理;/cl /forum/*****/*****/index.php;42″
li[4][2][3] = “论坛帖子办理;/cl /forum/*****/article/list.php;42″
li[4][2][4] = “聊天室形态办理;/cha**oot/*****.php;42″
li[4][3] = “教师风度;/teacher/index.php;43″
//li[4][4] = “试卷、功课权限办理;/exam/*****/ma****.php;44″
//li[4][5] = “电视播放表及测验时间办理;/co**se_st y/*****.php”
li[4][4] = “课程评估查询拜访;/eval te/searches.php;44″
li[4][5] = “共享资流设放;/sharefile*****/shareplan_list.php;45″
li[4][6] = “测验资流导入;/exam_res/index.php;46″
//省电大:具有资流生成权限
li[4][7][0] = “下发资流办理”
li[4][7][1] = “资流展示;/exhibite/showpage/planlistbysql.php;47″
li[4][7][2] = “资流生成;/exhibite/*****/index.php;47″
li[5][0] = “小我消息”
li[5][1] = “点窜消息;/reg/modify.php”
li[5][2] = “点窜暗码;/reg/modify*****pass.php”
li[5][3] = “查看留言;/cl /forum/message/shownew.php?isS mit=0″
li[5][4] = “给同窗留言;/cl /forum/message/sayto_*****.php”
修复方案:
建议通知所有各地电大院校改换新版 **。评论那驰转发至微博转发至微博0人| 分享到:阅读(3065)|评论(0)|不成转载|举报脚步分析*擒东西Metaspl01t 3.5.0 Pr0汗青上的今天比来读者评论/>三、教学组织放放
1、教学要求
(1)初步理解现代近程开放教育的涵义,体味现代近程开放教育的特点、成长及其取其他教育形式的区别,及时改变进修不雅念。
(2)体味电大的**布局、办学形式和运作机造。体味开放教育的教学组织形式、教学资流特点、进修收持服务编造和教学办理办法等。
(3)体味并熟悉电大近程开放教育一般的进修编造、进修编造和技巧。
(4)体味计较机根基构成,控造计较机文字措放的根基编造;根基控造*擒计较机收集进行进修的编造,并晓得如何通过计较机收集取教师、同窗进行交换;控造计较机辅帮教学软件等一般教学媒体的利用编造。
2、教学内容
(1)现代近程开放教育
(2)**的广播电视大学
(3)广播电视大学的开放教育
(4)电大的教学编造
(5)电大的教学办理
(6)电大学生进修的脚步分析*擒东西Metaspl01t 3.5.0 Pr0[分享] 电大在线近程教学平*缝隙(秒杀全国电大) 15:05:55| 分类: 收集渗入测评 | 标签:|字号大中小订阅