实战 | 记录下教育SRC几个证书站大学的挖掘

admin 2023年3月10日08:17:17评论149 views字数 1970阅读6分34秒阅读模式

现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队设为星标”,否则可能就看不到了啦

免责声明


由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!


文中涉及漏洞均以提交至相关漏洞平台,禁止打再次复现主意


前言

首先再给师傅们道个歉,最近真的是太忙了。苦逼大学牲为了应付开学考试已经快住在自习室了,今晚稍微有点空就想着更一篇,分享一下上一周我挖到的几个证书站大学漏洞。好了,我们废话不多说,正文开始。

实战 | 记录下教育SRC几个证书站大学的挖掘

001 某州大学敏感信息泄露+越权

这个大学也是近期上新了证书。2023版非常的好看大气,这不得感觉搞一手。早听过大师傅说某州大学的站是出了名的难啃,但是万万没想到还是给我上了一课,最终在走投无路的情况下也是找到好大哥搞到一个统一身份认证账号。这日子一下子就好过了起来。

随手就摸到了这个系统

实战 | 记录下教育SRC几个证书站大学的挖掘

有了账号之后也是轻车熟路的进入后台,进入后台之后也是首先就测一下我最拿手的越权漏洞,没办法,谁让咱江湖人送越权小王子呢。越权漏洞多去一些有数据的地方找,万一在数据包里参数没有加密,很大几率就会出货。

看到这个学生名单目录,我也是直接点了进去,随后就打开mht最新版本的burp(就是嘎嘎香,就是嘎嘎好用)。

实战 | 记录下教育SRC几个证书站大学的挖掘

运气很好参数未加密,随手修改末尾数字返回别的学生信息,漏洞+1

实战 | 记录下教育SRC几个证书站大学的挖掘

返回后台功能点,看到一个让人深恶痛绝的成绩录入功能,这不得让我来摸一摸。抓包之后每个数据包挨着放

没想到随手一send,竟然给我把全部学生的敏感信息返回过来了

.....

实战 | 记录下教育SRC几个证书站大学的挖掘

可能这就是上天赐洞吧,整个过程不到十五分钟,打包提交走人。

实战 | 记录下教育SRC几个证书站大学的挖掘

002 某职业技术学院逻辑缺陷

这个漏洞可以说是相当的精彩,它的起因来自于我朋友的一次fuzz(还得是爆破大法好啊)。在这个大学的登录界面有重置密码选项,但是很诡异的是居然只需要学号就可以,但是有验证码。但是这在FUZZ大法面前都不是事儿,也是运气很好很快就fuzz出了6位验证码。

实战 | 记录下教育SRC几个证书站大学的挖掘

直接重置密码(此操作不建议师傅们学习哦),也是成功的进入了后台,但是没过多长时间估计是这个学生发现了,他把密码又改了回去。但是这能难住我们聪慧的白帽子嘛。

通过信息搜集,我朋友发现这个学校的学生账号是和电子校园卡绑在一起的,而且这个电子校园卡可以在该大学微信公众号免费领,而且通过电子校园卡绑定微信号只要账号密码不用验证码。这结合fuzz大法登陆之后改密码再把账号绑定到白帽子的微信上,不就彻底接管这个学生账户了吗?

说干就干...

实战 | 记录下教育SRC几个证书站大学的挖掘

成功接管

本来以为这波组合拳已经很骚了,没想到进后台之后又来了一个洞

在登录一个系统的过程中抓包,首先这个数据包是泄露了从普通到校级管理员的id值

实战 | 记录下教育SRC几个证书站大学的挖掘

接着在下一个数据包,它的请求包是空的,但是把这些泄露的id值放进去再放包,直接越权到这些老师账户上!!!

这就是当校长的快乐嘛(bushi

实战 | 记录下教育SRC几个证书站大学的挖掘

后台可操作空间还很大,我们点到为止。

最终也是主动的把这位同学的账户归还了回去,也算是有始有终(我们是正义的白帽子)

实战 | 记录下教育SRC几个证书站大学的挖掘

003 某外国语大学存储XSS

这个漏洞没什么讲头,就是一个普通的存储xss,但是发现这个站点的思路确实是很好。师傅们都知道,教育园的证书站大学资产被师傅们摸了又摸,那可真的是比自己的学校系统都熟悉,所以常规的edu.cn域名这下可以挖的站点已经少之又少了。

这个时候师傅们可以去企查查之类的找一下学校的历史备案情况,找一些非edu的域名,但是这些站点的归属还是这个学校。

实战 | 记录下教育SRC几个证书站大学的挖掘

就比如这个网站,表面看上去和某外国语大学没有半毛钱关系,但是它也确确实实属于这个学校的资产。

看见登录框随手有个xss payload输进去

实战 | 记录下教育SRC几个证书站大学的挖掘

它弹了它弹了

最终也是两个证书站顺利通过审核,不过麻烦的是小弟最近rank有点不太够换证书了,不知道哪位大师傅能资助小弟一些。

实战 | 记录下教育SRC几个证书站大学的挖掘




付费圈子


欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

实战 | 记录下教育SRC几个证书站大学的挖掘

进成员内部群


实战 | 记录下教育SRC几个证书站大学的挖掘



实战 | 记录下教育SRC几个证书站大学的挖掘

星球的最近主题和星球内部工具一些展示


实战 | 记录下教育SRC几个证书站大学的挖掘


实战 | 记录下教育SRC几个证书站大学的挖掘

实战 | 记录下教育SRC几个证书站大学的挖掘

实战 | 记录下教育SRC几个证书站大学的挖掘

实战 | 记录下教育SRC几个证书站大学的挖掘

实战 | 记录下教育SRC几个证书站大学的挖掘

实战 | 记录下教育SRC几个证书站大学的挖掘

实战 | 记录下教育SRC几个证书站大学的挖掘

实战 | 记录下教育SRC几个证书站大学的挖掘



关 注 有 礼



关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

实战 | 记录下教育SRC几个证书站大学的挖掘 还在等什么?赶紧点击下方名片关注学习吧!实战 | 记录下教育SRC几个证书站大学的挖掘


实战 | 记录下教育SRC几个证书站大学的挖掘



群聊 | 技术交流群-群除我佬


干货|史上最全一句话木马


干货 | CS绕过vultr特征检测修改算法


实战 | 用中国人写的红队服务器搞一次内网穿透练习


实战 | 渗透某培训平台经历


实战 | 一次曲折的钓鱼溯源反制


免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

原文始发于微信公众号(渗透安全团队):实战 | 记录下教育SRC几个证书站大学的挖掘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月10日08:17:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战 | 记录下教育SRC几个证书站大学的挖掘http://cn-sec.com/archives/1595209.html

发表评论

匿名网友 填写信息