记一次异常曲折的edu证书站挖掘

admin 2023年3月12日22:13:43评论24 views字数 1571阅读5分14秒阅读模式

免责声明


由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!


文中涉及漏洞均以提交至相关漏洞平台,禁止打再次复现注意


前段时间挖到了两个证书站大学的漏洞有点上头,正好最近某济大学也上新了证书,这精致的外表我是越看越喜欢,于是掏出我心爱的工具箱准备对同济大学进行一次测试(主要是为了水证书)。

记一次异常曲折的edu证书站挖掘

老样子,还是先来一波信息搜集,使用oneforall先扫子域名

记一次异常曲折的edu证书站挖掘

一番扫扫扫下来,我发现同济子域名,各种系统还正儿八经不少,此时我便有了一个错觉,觉得这个证书站应该很好拿下,特别是看到两个低危就能兑换一个证书时心里更是美滋滋。但是此时的我,丝毫没有注意到问题的严重性,于是很快就被上了一课。

按照我个人习惯,快速打点过程中顺便测试一下敏感信息泄露是经常使用的方法,于是我便结合httpx先对子域名进行一个存活探测,前段时间从辛巴大佬那里学到一些骚操作现在就派上了用场,在扫描过程中,使用-path参数加上一些敏感文件路径,比如/admin,/api/users包括一些源码文件比如/.git。这里说一个比较小众的/.DS_Store和/WEB-INF/web.xml文件泄露,这些泄露在可以利用的情况下edusrc都是收的。

记一次异常曲折的edu证书站挖掘

但是一番操作猛如虎,结果经过测试啥泄露都没有,安全的一批。这个时候的我才逐渐认识到了问题的严重性,没挖到敏感信息泄露啥的不慌不慌,继续测试就行,掏出我的资产打点利器finger对重点资产进行打点。

记一次异常曲折的edu证书站挖掘

资产扫描结果

记一次异常曲折的edu证书站挖掘

对于这些资产,我费了很大的功夫去测试,但是一无所获。

测到这里不禁让我开始怀疑人生,不愧是证书站大学啊,外网基本上都被师傅们摸的干干净净的了,就算是想挖个低危的洞都难。

记一次异常曲折的edu证书站挖掘

到了这一步,为了扩大资产范围,只好想办法搞到一个内部人员的账号,去测试它的内部系统。这里我一般用到的方法都是通过前期的信息泄露漏洞,搜集学工号,sfz号,手机号之类的信息进行爆破,或者直接进行社g。当然这块比较敏感一点我就不细说了,感兴趣的时候可以加我私聊。

我们也是很幸运的获得了一个学生的账号,顺利的进入到统一身份认证系统。

这种时候,我最常测试的漏洞就是越权,事实证明我的想法完全正确。

首先是找到一个就业系统。

记一次异常曲折的edu证书站挖掘

发现有一个创建简历的功能点

这个时候掏出我的burp抓包,发现一个这样的数据包。

记一次异常曲折的edu证书站挖掘

尝试修改参数,将97修改为98,成功返回了另外一位同学的个人信息。

记一次异常曲折的edu证书站挖掘

在这里可以对这个参数进行遍历,通过理论上可以获得全校学生的个人信息。

越权漏洞+1

接着我们又把目光放到一处表格下载的功能点,其实在很多时候,这种表格包括成绩单,在读证明之类的文件包含了大量的个人信息,很多也存在越权漏洞,对于这些地方还是需要重点测试。

记一次异常曲折的edu证书站挖掘

同样开启抓包,发现一个和上面数据包类似的包

记一次异常曲折的edu证书站挖掘

通过修改参数,成功获取到了另外一名同学的个人信息。

越权漏洞+2

将测试结果打包交到edusrc上,心想着这怎么都能混个中危,睡了一觉起来发现漏洞已经审核了,不过居然是低危....

不禁感叹一下edu审核还是非常的"认真负责严谨"的...

记一次异常曲折的edu证书站挖掘

低危就低危呗,我只好继续测,思路依然是以越权为主,这次我主要找的是一些上文提到过的在线文件的功能点。

找到一个可以下载在读证明的功能点

记一次异常曲折的edu证书站挖掘

大概是这样的一个文件,在打印之前可以进行预览

记一次异常曲折的edu证书站挖掘

同样开启抓包,发现一个这样的数据包

记一次异常曲折的edu证书站挖掘

修改参数成功越权看到别的同学个人信息。

同样打包提交,终于混到了一个中危,给了2rank

最终战果...


记一次异常曲折的edu证书站挖掘

一切还是以水证书为目的,点到为止。由于是实战外加涉及大量学生敏感信息泄露,所以我都是打了厚码,希望师傅们见谅。

记一次异常曲折的edu证书站挖掘

欢迎各位师傅交流SRC挖掘经验,交换证书站报告!!!!

记一次异常曲折的edu证书站挖掘

原文始发于微信公众号(LK安全):记一次异常曲折的edu证书站挖掘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月12日22:13:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次异常曲折的edu证书站挖掘http://cn-sec.com/archives/1598410.html

发表评论

匿名网友 填写信息