记一次某新疆职业技术学院逻辑漏洞

admin 2023年6月1日08:35:23评论69 views字数 1372阅读4分34秒阅读模式

免责声明

由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!

0x01 前言

信息收集
大致思路就是信息搜集,如确定资产,比如他有哪些域名、子域名、C段、旁站、系统、微信小程序或公众号确定好站点或者目标系统之后,就是常规的指纹识别像中间件、网站,扫目录,后台,确定功能然后分析每个功能点上会有哪些漏洞,就比如一个登录页面,我们可以考虑的是爆破账号密码,社工账号密码(但鉴于博主心地善良,社工后内心会煎熬,所以目前没社工要账号密码,sql注入,xss漏洞,逻辑漏洞绕过。
系统账号
搞edusrc我们一般首要目标得拿到一个vpn或者统一身份认证的账号密码,因为很多系统都基于这个账号密码的单点登录,有两种一种是学生的,一种是教职工的,一般来说教职工的账号权限会比学生大很多,系统也多。怎么获得呢,你有朋友可以直接和朋友要,能省很多事情,不能就看看弱口令,搜集到学号和身份证号,有些学校会不经意间暴露出来,或者通过其他的系统,一些系统登录账号密码都是弱口令或者学号、工号,我们进去后在个人信息处会有身份证号,然后就能登录vpn或者统一身份认证。
Google语法:
inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms查找文本内容:site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
查找可注入点:site:域名 inurl:aspx|jsp|php|asp
查找上传漏洞:site:域名 inurl:file|load|editor|Files找eweb编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit存在的数据库:site:域名 filetype:mdb|asp|#查看脚本类型:site:域名 filetype:asp/aspx/php/jsp迂回策略入侵:inurl:cms/data/templates/images/index/


多种组合往往能散发不一样的魅力

Fofa语法
在fofa中如何定位一个学校呢?
有两个方法

一个是org,一个是icon_hash

记一次某新疆职业技术学院逻辑漏洞

记一次某新疆职业技术学院逻辑漏洞

有了这些还怕找不到资产?
因为一个学校的icon_hash 往往都是几个固定的,所以我们搜索icon_hash的时候,也会有不一样的效果。
fofa的org搜索
org="China Education and Research Network Center"
全都是教育网段的,(有些公司也会有自己的组织)

记一次某新疆职业技术学院逻辑漏洞

0x02 正文

通过前期信息收集获取到的账号密码登录系统

记一次某新疆职业技术学院逻辑漏洞

登录后使用bp代理,访问MHK报名信息表,该表单中包含身份证

记一次某新疆职业技术学院逻辑漏洞

记一次某新疆职业技术学院逻辑漏洞

在历史包的响应包中搜索身份证,或者在刷新页面的时候找到下面这个包,然后发送到重发模块,
通过修改学号参数,可越权查看全校学生信息,泄露信息类型有姓名,班级,学号,身份证号等等

记一次某新疆职业技术学院逻辑漏洞

0x03 知识星球

记一次某新疆职业技术学院逻辑漏洞

原文始发于微信公众号(狐狸说安全):记一次某新疆职业技术学院逻辑漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月1日08:35:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次某新疆职业技术学院逻辑漏洞http://cn-sec.com/archives/1778831.html

发表评论

匿名网友 填写信息