现在只对常读和星标的公众号才展示大图推送,建议大家能把漏洞猎人安全“设为星标”,否则可能就看不到了啦!
免责声明
本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。
由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。漏洞猎人安全公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
文中涉及漏洞均以提交至相关漏洞平台,禁止打再次复现主意!!!
好久没去看教育漏洞报告平台了(EDUSRC),这天去逛逛时突然发现,某州大学上新证书了,又有壳又大气,我真是喜欢的不得了,于是乎赶紧掏出我的大武器箱,准备让某州大学尝一下我的威力。
在测试之前,我先去问了一下我的好基友,号称是edu的神
....
由于没有账号,只能先一遍一遍的做信息搜集
终于发现了一处脆弱资产
打开开发者工具->网络->停用缓存(保持开发者工具F12不要关闭)代理BurpSuite并拦截返回包刷新页面
在app.xxxx.js返回包里搜索loginStaff直到找到下图代码块,将bt="login"改成bt="loginStaff“然后Forward放行,关闭拦截即可,此时关闭F12开发者工具,防止页面后续重新缓存
此时可以看到其他的登录方式,使用 账号一 登录系统,在右下角处发现修改密码,输入123456开启BurpSuite拦截然后确认,将修改密码的请求包Ctrl+R发送至重载器,然后Drop暂不修改
分析历史流量找到登录请求包,Ctrl+R发送至重载器,将登录信息改为账号二的账号密码,即可获取到账号二的id号
此时回到密码重置请求包处,将id改为账号二的id 密码任意 发现可重置账号二的密码,且再使用原有账号密码登录,提示 用户不存在(实为密码错误),将密码改为123456又可成功查询信息,由此可以证明该系统存在任意密码重置漏洞,如果使用Intruder模块遍历账号id,该系统所有密码都将被更改
成功登录
一个漏洞到手
通过这个系统收集到了足够多的信息,剩下系统也就好挖很多
进入系统之后 找到这一处
输入任意姓分析历史流量 返回数据中有大量学生敏感信息(考生号、手机号、姓名、身份证等) 如通过遍历即可抓取全校学生敏感信息
信息将keywords字段置空可查看所有教师敏感信息 学生接口也是一样将keywords置空也能查看全校所有学生
漏洞+1
找到另外一个系统
找到这里
抓包查看
将jsbld和xqcode删除 将sort改为id.asc 即可查询所有学生敏感数据(姓名、手机号、身份证、家庭住址父母身份证及手机号等)
总计数据超过219150条数据,造成影响极其恶劣
全部提交 全部通过 也是顺利的换到了证书
挖掘时长两小时,打卡收工
欢迎各位师傅关注,一起学习更多漏洞挖掘技巧!!!
原文始发于微信公众号(漏洞猎人安全):坚不可摧???看我如何两小时拿下某州大学证书
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论