NOI报名站某处上传过滤不严导致getshell

NOI(全国青少年信息学奥林匹克竞赛)报名站某处上传过滤不严导致getshell,涉及进10w参赛者信息和2w指导教师信息。

为了向那些在中学阶段学习的青少年普及计算机科学知识,为了给学校的信息技术教育课程提供动力和新的思路,为了给那些有才华的学生提供相互交流和学习的机会、也为通过竞赛和相关的活动培养和选拔优秀计算机人才,教育部和中国科协委托中国计算机学会举办了全国青少年计算机程序设计竞赛,即全国青少年信息学奥林匹克竞赛(简称NOI)。

NOI报名站图片上传点为过滤上传后缀格式导致getshell。

http://rg.noi.cn/

1.png

2.png

制作嵌入恶意代码的图片。后缀改为.php上传。由于后端未进行后缀校验,导致getshell。

3.png

涉及近10w参赛者信息。

5.png

6.png

7.png

教师信息。

8.png