警示:
本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循我国法律法规。
该漏洞已上报edusrc 并已修复,请勿打再次复现的主意。
本文章完全是为了水证书,分享一个小技巧,不喜勿喷,感谢大佬们的指正。
未经作者允许,严禁转载,如有转载:请在公众号下留言
前言
前段时间由于疫情严重,不得不居家办公。又刚好去了趟医院,非常郁闷及惆怅,随后就在医院的公告栏上看见了该医生就是本次中招的某校。你说巧不巧,本人女友也是该校毕业的。
随后转头就是来了句:“宝~能否借你的账号一用?” 女友也是非常爽快的:“发你了!拿(da)不下来别来见我!”我:“???看来跟学校仇怨不小啊!”
最后也靠女友给予的运气让我在15分钟内成功水到一本证书,以及一波小通杀。
开局一句话
当然还是最基本、也是最难的信息收集,俗话说得好:信息收集好,渗透随便搞。(有小伙伴想看信息收集的可以私信我出一期信息收集。)
账号现在有了,我先用了鹰图平台进行了一波收集,发现该校资产不算很多,我这里首选了这种云厂商,别问为什么,问就是菜!
那我们就点击进去look look站点长啥样
站点页面就长这样,由于需要保护一下校园隐私还是厚码一下,见谅见谅。
想必大家的思路可能都跟我一样的,先尝试弱口令,再通过学工号尝试登陆,再考虑用户框注入。师傅们还有什么好的思路可以到文章最后添加好友进行PY交易!!
故事全靠编
好吧,前面这里这些呢我都试过了,无果。随后我就直接考虑起未授权,是时候翻看一波我的熊猫头了
发现这其中的接口都做好了鉴权,害
(图片为本次所使用的工具)
本来想着要“溜溜球”了,突然看见群里的大佬在讨论js目录扫描工具,哎...这不得扫一波看看?
需要工具可以私聊我!
这里就跳过扫描过程直接贴结果了,最终扫描出来多处未授权下载日志文件,第一个日志文件如下图展示的文件大小有6.8G,这是多少年的日志啊?
第二个日志文件内容就比较重要了,内容包含了师生个人敏感信息、设备的SN码及编号。其内容也是上千。好兄弟们!这里留一个问题给你们上面的6.8G的日志文件,有师傅知道如何打开的,还麻烦师傅指导指导!!!!!
漏洞点三:还存在登录日志,包括所有登录过的账户的cookie信息,这里由于当时并没有截图,所以就不作展示了!
这春天(中危)不就来了吗?在你走投无路之时,总有些热心肠的师傅为咱们指路!还有就是细心点就能发现新世界!
继续编故事
我们回到刚刚前面提到的通杀,站点不多,十多个,一样的套路,真是水了一波又一波啊。
虽然这一波小通杀没啥技术含量,但是遇到类似站点的同时,最好是细心一点,所有的功能都去测试,所有可能存在漏洞点的地方都去尝试尝试,会有意外惊喜。本文章完全是为了水证书,分享一个小技巧,不喜勿喷,感谢大佬们的指正。
故事完结
依然还是总结一下:
1、不应系统日志中存储认证敏感信息:敏感信息包括:登录密码、交易密码、查询密码、密钥信息、身份证等。
2、对日志有恰当的安全管理机制: 1.日志文件只能追加不能被覆盖,不能删除 2.合理分配日志管理权限,只有审计员有查询日志权限,其他用户没有操作日志权限 3.审计记录用于事件记录、故障排查、溯源等,应用系统不应提供对其删除和修改的功能 4.定期备份日志记录
3、统一放至应用系统的日志目录(如/data/logs),并做好鉴权。
3、统一放至应用系统的日志目录(如/data/logs),并做好鉴权。
3、统一放至应用系统的日志目录(如/data/logs),并做好鉴权。
重要的事情说三遍!!!
原文始发于微信公众号(LK安全):实战|记一次女友学校漏洞挖掘(水到一张证书并成功通杀)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论