实战 | 某开大学的漏洞挖掘之旅

  • A+
所属分类:安全文章


实战 | 某开大学的漏洞挖掘之旅
前段时间颓废了很久,每天都在打游戏玩手机,某天晚上深思良久,愧疚感蹭蹭往上涨,碰巧看到群里某老哥挖了个某开,便想着也去搞一个。
实战 | 某开大学的漏洞挖掘之旅


实战 | 某开大学的漏洞挖掘之旅

之前都听说某开很难搞,直接搞子域名可能难度比较大,聪明如我当然是直接来到fofa找C段。通过搜索到的一个某开资产,来到https://www.ip138.com/这里查询,也是直接确定了一个C段。
实战 | 某开大学的漏洞挖掘之旅
C段找到以后,直接上手扫了一遍,找到一个目标资产瞬间引起了我的兴趣。
实战 | 某开大学的漏洞挖掘之旅
为啥呢,因为我看到了注册按钮。这踏马的,一看就像是有洞的感觉。
实战 | 某开大学的漏洞挖掘之旅
有注册,就说明有用户。有用户,就说明存在越权,信息泄露,xss等等漏洞的可能性比其他站点的可能性更大,也更容易出洞。

那这我踏马得马上注册一个号啊,
实战 | 某开大学的漏洞挖掘之旅
注册的时候,直接插一个xss。
来到登录界面,果不其然,一个存储型xss到手。
实战 | 某开大学的漏洞挖掘之旅
但这也就仅仅1个rank。得想个办法搞个中危才行啊。
网站是基于session来标识用户身份的。而常规的修改参数越权,也几乎不存在。
实战 | 某开大学的漏洞挖掘之旅
因为用户这一块,功能太过于单一,登录进去就一个修改密码,修改昵称等等。所以用户这一块,基本上找不出什么漏洞。
常规漏洞应该是出不了了,那看看有没有任意密码重置啥的逻辑漏洞。
实战 | 某开大学的漏洞挖掘之旅
cnm,根本不能修改密码,这管理员怎么想的。

域名后面一手admin,后台出来了。
http://xxxx.edu.cn/admin/public/login.html
想着爆破一波管理员密码,但是有验证码没法搞。但我还是试了十多个非常常见的弱口令。
实战 | 某开大学的漏洞挖掘之旅
毕竟头铁,有一次针对管理员密码无法爆破的情况下,靠着一个一个试弱口令,试了几个就出来了。所以这种耗费时间不大,收益极大的事情,该头铁还得头铁,好了,不过话说回来。我这里没有试出来。
/admin/public/login.html
但是这个域名,这个路径,让我觉得似曾相识。
直接访问public。
直接返回一个报错页面,发生肾么事了????原来是onethink。
实战 | 某开大学的漏洞挖掘之旅
马上啊,对着版本号搜了一波,果然,这个版本好像是有洞的。
实战 | 某开大学的漏洞挖掘之旅

正当我payload打过去,以为中危稳了的时候,踏马的,有狗!
实战 | 某开大学的漏洞挖掘之旅

WAF不会饶,而且有可能绕过以后也不一定有洞,所以这个点我是放弃了。扔给搞师傅看看。
实战 | 某开大学的漏洞挖掘之旅
扫了一下端口和目录,也没啥可测的。放弃放弃。换下一个目标,可别在一棵树上吊死,不然等会天就亮了。

实战 | 某开大学的漏洞挖掘之旅

经过一段时间的苦找,又入手一个目标,是一个邮箱系统。
嘿嘿嘿!直接干!
站点页面如下图:
实战 | 某开大学的漏洞挖掘之旅
我踏马直接一手
123456123456
然后抓包查看验证流程,并想侧一手注入。
疑惑的地方诞生了,burp无法抓包,而且一直处于响应状态:
实战 | 某开大学的漏洞挖掘之旅

第一个想的是可能有js验证账号等。但是js我翻找了一遍,发现并没有。那么有可能就是站点功能缺失。
如此说来,这是个垃圾站,功能都没有做好。这种缺少维护的站可能出洞的几率也是比较高的。Burp无法抓包。其他的目录端口也无敏感点。只有从js文件等入手,查看有无暴露的敏感信息,比如用户密码,接口,cms等等。

源码里面一个ajax传参泄露了网站路径
实战 | 某开大学的漏洞挖掘之旅
访问后确实有这个文件:
实战 | 某开大学的漏洞挖掘之旅测一手目录穿越,访问code文件夹
http://xxxxx.edu.cn/xxxxxxxx/code/
发现确实存在目录穿越漏洞:
实战 | 某开大学的漏洞挖掘之旅
存在目录穿越,尝试访问他的不同文件夹,看看有无敏感信息文件泄露。
#1发现敏感信息文件泄露,职工姓名和邮箱泄露:
实战 | 某开大学的漏洞挖掘之旅
ASCII解码即可查看明文:
实战 | 某开大学的漏洞挖掘之旅

#2查看所有用户收发信箱文件
(这里我觉得是一个比较有价值的点,可以查看用户的收发文件,不免有很多敏感文件,比如入学申请书等等,文件是很多的,直接会卡一会。就不放太多文件内容了,比较敏感):
/code/data/
实战 | 某开大学的漏洞挖掘之旅
实战 | 某开大学的漏洞挖掘之旅

实战 | 某开大学的漏洞挖掘之旅
#3查看部分邮箱内容:
图片.jpg 这里找不到图片了。但是可以确定的是,可以查看用户发邮件的部分内容。

其他泄露的敏感文件还有很多,例如日志信息等等,这里不进一步深入了,已经足够拿中危了。打完收工。
实战 | 某开大学的漏洞挖掘之旅

此时已经是凌晨四点多了,给好基友报个喜:
实战 | 某开大学的漏洞挖掘之旅
实战 | 某开大学的漏洞挖掘之旅

踏马的!睡觉。

实战 | 某开大学的漏洞挖掘之旅
实战 | 某开大学的漏洞挖掘之旅


https://www.hetianlab.com/expc.do?ec=ECIDb06f-9bfa-4e0a-80af-36af7391a643&pk_campaign=weixin-wemedia#stu  
复制上方链接到浏览器,PC端体验更佳
ThinkPHP,从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,注重开发体验和易用性,为web应用开发提供了强有力的支持。通过该实验了解ThinkPHP5远程命令执行漏洞的原因和利用方法,以及如何修复该漏洞。

实战 | 某开大学的漏洞挖掘之旅

欲知更多课程详情请点击图片

点击下方“阅读原文”体验实战靶场下的漏洞挖掘之旅



本文始发于微信公众号(合天智汇):实战 | 某开大学的漏洞挖掘之旅

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: