EduSrc两个证书站挖掘小结

年终于快要过完了，这段时间忙着过年，也没有学习一些新技术，但是有个好处就是有空闲时间来干自己想干的的事情。于是乎准备挖挖edusrc。

上次在edusrc交洞还是几个月前的事情了，这次回来发现礼品中心上架了某江大学漏洞报送证书甚是好看，于是就决定挖它了，最终也是在过年期间顺利的挖到了某江大学和某职业技术学院的漏洞，并兑换了证书.下面就讲讲这两个证书站挖掘思路。

由于挖到的漏洞都是一些很基础的没什么讲头，我将重点放到了信息搜集阶段，是如何在证书站被很多白帽子师傅摸了无数次的情况下找到漏洞的。

首先就是老生长谈的子域名搜集，这一块一定要做好。记得我在刚接触挖洞时，对着学校的主站一顿操作，当然最后也是无果而终。这里我推荐的工具是oneforall，师傅们下载完成之后把各种各样的配置比如fofa的api等等都添加上，然后就可以愉快的开始搜集子域名啦。经过我的测试，oneforall搜集到的子域名还是挺全的，搜集到的某江大学资产都快2000条了，既然有了这么多的资产，我们还愁挖不到漏洞吗？

下一步就到了url探测存活，既然我们拿到了这么多的资产，总不可能一个一个自己手动测存活吧。很多师傅推荐的是httpx，但是我发现有一款叫finger的工具也很不错，不但能够测试url存放而且能够识别重点资产比如由shiro框架，thinkphp框架开发的网站。但是oneforall默认的文件导出方式是csv，这里只需要简单的写个python脚本进行转换为txt文件，然后将文件丢到finger中等待它跑完即可。最终探测到存活的资产在1000条左右，并且已经区分出了一些重点资产。

对于这些重点资产，一般情况下是我们需要花费大量时间精力进行测试的，但是很多情况下这些站点基本都被师傅们摸了又摸，能够用nday打的已经寥寥无几，这个时候我们转换思路，既然有1000多条资产，那为什么不从一些小站偏站入手。由于工具已经帮我们跑出来资产的title，这个时候我们就需要关注一些比如title叫某江大学大学生创新创业系统啊，某江大学车辆管理报备系统等等之类的资产。这种站点出洞的概率往往比某江大学教务站登录系统这样的资产出洞的概率大一些。

最终我们也是找到一个名为某江大学校友平台的资产，点击页面的活动一栏，发现url变化。

直接丢到sqlmap中发现存在注入。

写好报告提交至edusrc，给了4rank，一张证书到手。

由于是以拿到漏洞报送证书为目的，某江大学的其余资产我还没有认真的测试过，但是据我估计存在漏洞的站点不在少数，想拿证书的师傅们可以冲。

另一个某职业技术学院的漏洞挖掘更加的困难，由于测试的师傅太多或者不知道啥原因，这个学校居然给大部分站点关掉了，但是这能难到我们嘛？在这种测试目标很少的情况下，在信息搜集特别是子域名搜集阶段，不能单一的依靠oneforall一个工具，在搜集过程中，通过不同的工具对其子域名进行扫描，然后统计结果写python脚本进行对比去重等等，最终只得到了可怜的不到一百条资产。但是有总比没有强，后续的阶段和上文中提到的一样，不过这次我先从重点资产下手，果不其然早已经被大师傅们摸过了。

难道这个学校的漏洞报送证书就与我无缘了吗，没想到山重水复疑无路，柳暗花明又一村，在寥寥可数的资产中，我居然看到一个title叫实验室生命演化研究中心的站点，有一说一，这网站名字起的让我感觉就有漏洞，于是乎测它。

首先是对站点进行目录扫描，没想到扫出来一个phpmyadmin，此时我已经看到证书在向我招手了，果断访问，来到熟悉的界面。

先是尝试弱口令登录失败，正准备去谷歌搜索phpmyadmin历史漏洞，没想到随手尝试空密码登录居然进去了？？？

本来还想着能不能试试sql写马上去但是害怕动静太大管理员又给关站了，赶紧写报告提交跑路，很幸运的是在通过审核之前没有关站(现在关了)，给了3rank。

其实这两个证书站的漏洞挖掘都没有费太大的功夫甚至可以说是有手就行，但是为什么很多师傅在测试的时候没有发现，其实还是信息搜集的问题，某职业技术学院的漏洞站我用了好几种子域名爆破工具都没有扫描出来，最后还是通过某个在线子域名搜集平台找到的。我想这个漏洞站迟迟没有被发现的原因就是好多师傅对于学校信息搜集做的不全面，漏掉了很多的资产。当然我提供的这种思路也只是本人喜欢的一种，师傅们可以结合不同的工具，创造出更多更骚的思路，比如我最近看到绿帽子安全团队的辛巴大佬关于httpx扫描url并探测漏洞的文章就很有启发。

附上两个学校的证书兑换记录(可惜都没有发货)。

最后祝师傅们新年快乐！！！！

这是团队师傅的公众号，大家可以关注一下，会不定期分享各种挖洞姿势！

免责声明

由于传播、利用本公众号NGC660安全实验室所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号NGC600安全实验室及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

原文始发于微信公众号（NGC660安全实验室）：EduSrc两个证书站挖掘小结