实战|记一次EDU漏洞挖掘

admin 2023年1月3日12:07:56安全文章评论15 views788字阅读2分37秒阅读模式

前言

以下提及的漏洞都提交到edusrc平台进行修复,大佬勿喷。

信息收集

在外网进行系统测试,发现大部分都需要统一身份认证,瞅瞅该目标单位的统一身份认证要求,可以看到初始密码的规则是 [email protected]后六位,用户名是学号

实战|记一次EDU漏洞挖掘


利用相关语法 site:xxx.edu.cn "学号|SFZ|密码"等,未找到有效信息,想到用类似 "助学金、奖学金、补贴"等关键词,发现一处敏感信息泄露,及时保存下来,没准就成为后面突破的一个节点。

实战|记一次EDU漏洞挖掘


实战|记一次EDU漏洞挖掘

信息整合

从统一身份认证登录的条件来看,我们可得出以下几点

1、用户是学号
2、SFZ后六位
3、已知部分用户的SFZ后五位

学号可以利用相关语法找到 site:xxx.edu.cn "姓名"等等,举例

实战|记一次EDU漏洞挖掘

由于SFZ倒数第六位+第五位是生日的日,那最高不超过31,而且倒数第五位已经确定了,可以构造如下(默认密码的规则是 [email protected]+SFZ后六位,以下是举例 非真实)

[email protected]
[email protected]
[email protected]

最终在尝试第二个的时候,成功以默认密码登录

实战|记一次EDU漏洞挖掘

突破

可以看到需要更改密码,但前提是需要输入完整的SFZ号码,将当前的信息继续整合,已经知道某个用户的SFZ前七位+后六位,中间的数字是打码,其实不难猜出,只剩下年份的后三位(1999的999) + 月份(01 且不超过12),其余的就交给Burp了,肯定有小伙伴问,年份如何确定了,毕竟还是很多的。其实是根据用户当前的年段(如大三),再结合自身,进行反推,大概是在 199x,最终成功修改密码。

锁定年份 199X(X是数字)、爆破月份

实战|记一次EDU漏洞挖掘

继续X+1,爆破月份

实战|记一次EDU漏洞挖掘

实战|记一次EDU漏洞挖掘

由于统一身份认证和VPN绑定,成功拿到VPN权限,可通过多个内网段

实战|记一次EDU漏洞挖掘

拿到统一身份认证平台,就可以跳转到多个系统进行测试(不在后续深入 点到为止)

实战|记一次EDU漏洞挖掘

实战|记一次EDU漏洞挖掘
实战|记一次EDU漏洞挖掘

原文连接:https://xz.aliyun.com/t/11960

原文始发于微信公众号(亿人安全):实战|记一次EDU漏洞挖掘

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月3日12:07:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  实战|记一次EDU漏洞挖掘 http://cn-sec.com/archives/1486179.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: