最近比赛结束也算是圆满完成了任务,所以闲来无事想更新几期edusrc平台漏洞挖掘的记录,主要想以逻辑漏洞为主。遂有了本篇文章。没什么亮点,中规中矩。如有什么问题,欢迎微信与我交流!
注:本文涉及到的所有漏洞均已提交到相关漏洞平台,目的为技术交流与分享,提升自身技能水平,请勿利用本文所提到的方法进行恶意的攻击与破坏,遵守中华人民共和国网络安全法的相关规定,否则所造成的的一切后果与本人无关,阅读本文默认接受此协定。如有侵权请立刻联系我删除。如有打码不全的地方请联系我,重谢。
这次是针对某高校的漏洞挖掘,资产暴露面比较广,但是我没有统一身份认证学号和密码。所以这里我是从子域名下手,我倒是不太推荐使用工具去爆破子域名,不是授权和重点的感觉项目没太大必要。这里主要使用了安全搜索引擎去查找子域名。
所用工具链接:https://github.com/wafinfo/Hikvision
共有200多页,此高校使用的是某微系列产品和某服的VPN服务。绕过各分院的门户网站和需要统一身份认证的网站后,一个网站映入眼帘。说实话注册这两个字属实诱惑到我了。注册了两个账号方便测试越权和密码重置等逻辑缺陷漏洞。
注册登陆后发现页面没什么功能点,但是更新密码这四个字属实让我眼前一亮。
Burspuite抓包启动,数据包里有三个参数,一个是防止csrf的token值,一个是代表用户身份的id值,还有一个是重置后的密码。我第一个账号id是62,这里把它改成61,然后放包。密码重置成功,在登陆另一个账号成功。任意密码重置漏洞轻松到手。
另一资产也是该校资产,前台是一个预约申请表单。本来想测试SQL注入,XSS等漏洞,但是习惯在测试之前在url后随手敲一个admin,发现跳转到了后台管理页面
使用admin/admin123啪的一下跳转到后台管理页面。超级管理员权限,但是后台功能点太少了,没有上传点。只能增加修改删除用户和审核是否通过,搜索处测试了没有注入。涉及到增加修改和删除的功能点我又不想去测试,那就看看越权吧!
使用普通用户xxxx/123456 登陆后发现权限少了很多。
将管理员才有的用户管理路径进行拼接,发现可用使用管理员的功能。弱口令和垂直越权到手。同时把此url复制粘贴另一个浏览器打开发现也可以正常使用,未授权访问+1
让我们请出本篇文章的最后一个主角!这熟悉的界面,打了一把nday上传和任意文件读取发现都修了。
测试是否存在敏感信息泄露,/portal/conf/config.properties 果然存在,直接拿去解密,得到数据库的密码,但是在内网登陆不了,到此为止了。敏感信息泄露+1
最后推一波朋友刚创建的知识星球,物有所值,后期肯定会涨价。我的一些实战文章和漏洞挖掘文章也会在里面更新。
![记一次edusrc指定学校站点挖掘实例]( "记一次edusrc指定学校站点挖掘实例")
原文始发于微信公众号(飞奔的狸花猫):记一次edusrc指定学校站点挖掘实例
评论