声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
| 0x01:前言
本文由内部群师傅的学生进行的一次教育园的漏洞案例分享,兄弟们准备好了嘛,开始起飞了哦~
| 0x02:中学站信息收集
因为兑换985证书站不是要30个积分,没办法也来一个小小中学打打牙祭,所以通过鹰图看教育园的资产然后web.title等于Login,一个个找的后台然后去打呗。然后找到如下登录点。
| 0x03:拿下一个sql
记得老师D总给我说这种没有验证码的后台肯定有点垃圾,然后我就测试了一下,发现前台打个单引号就报错了,这一看不就是sqlsever的注入嘛,起飞~
然后我直接给他来个报错注入,直接验证看看,直接报错注入出了数据库的名字,bingo~拿下一个sql注入(D总批注:可以试试堆叠,可以直接rce的)
然后跟D师傅讨论了一下,其实万能密码也是可以的。直接登录管理员账号
admin'or'a'like'a'or'a'like'a
| 0x04:进后台拿下一个越权
因为要测越权嘛,不得有个低权限的账号和高权限的账号,所以我直接创了一个低权限的账号'aaa',然后我一看cookies竟然就是账号的参数值,这不妥妥的越权
直接把aaa改成admin不就是一个cookies的越权,突然感觉挺简单的的,果然渗透的本质是信息收集md,直接越权查看管理员才有的功能进行验证。
| 0x05:进后台又拿下一个逻辑
测逻辑嘛,听D师傅说不就是把每个功能点的逻辑都理清一篇,然后我看aaa修改密码的功能点是这样子的如下:
cmd=6&primarypwd=123456&newpwd=admin123&Oncemore=admin123&username=aaa然后直接把aaa改成bbb测试一下,发现修改成功
然后用bbb/123456发现登录成功
至此成功通过这些漏洞拿下8个rank,为后面兑换证书站提供rank
| 0x06:985证书站的sql
先进行域名收集*.sjtu.edu.cn,像证书站太多人挖了,一般这种三级域名都不想看,我直接看四级域名找隐藏资产
我直接拿出D总教的cert证书收集.
https://crt.sh/?q=sjtu.edu.cn发现了很多四级域名,所以我找到一个xxx.xxx.sjtu.edu.cn的后台
直接找到登录宽进行爆破,爆不出密码,直接注册不就好了嘻嘻嘻
因为是php的网站,总感觉有sql漏洞,所以直接测的sql。
打个单引号发现直接报错了。。。。。。。。。。。。。
然后直接手注,POC:1'+or+mid(user(),1,1)!='a'--+,发现直接被烂gg
不就是小小安全狗嘛,在D总的sql教导下,直接变形一下不就行了
1'+or+mid(schema(),1,1)!='a'--+成功绕过,小小安全狗,可笑可笑~
成功拿下,嘻嘻嘻~
|
原文始发于微信公众号(湘安无事):学生分享之拿下某985证书站(1)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论