前言
深情哥闲着无聊打点到这个域名:www.123456.sjtu.edu.cn
跟学员一起的挖掘过程
一看就是php,发现有phpMyadmin,但是这个爆破不出来
扫了一下后台,发现是通用的phpcms,这种只能有历史漏洞,看了很久发现不能打,
深情哥直接去查这个偏远资产的域名,先查他的真实ip
当时跟十一就想着直接反查ip,放到fofa里面查c段找到个域名,发网页下面有小程序就想着直接打小程序了,一起跟着十一学员看这个网站
直接找到小程序
本被带着十一学员在这里怼呀怼呀,肯定让十一学员用手机号码注册呀,深情哥怎么可能留下痕迹
md一起在这里到处试试,没有发现越权点和信息泄露的点,但是咨询建议哪里比较可疑,因为有id字段 可能存在越权,然后就跟十一学员测了测,要自闭了没看到啥漏洞,过了快两个小时了饭都没有吃(此时和学员像小丑一样)
监控也看不了(给爷整吐了)
打开域名也是啥都没有
访问网页去了,url就在小程序包里。之前试过有些可以直接访问后台的。指纹这里可以看到是Vue.js 框架开发的js代码开发的容易出未授权.
这里深情哥根据经验直接拼接了admin就直接访问到后台了。不过后台跟闹鬼似的,是个假的一直跳,但是 js源码也在这里咯
这里是抓包找到的js代码,量有点大.容易卡要注意,BURP死了两三次 然后跟学员十一发现hxapi接口前面基本上都是这个(找规律呗).通过这个一个个看接口有很多删除和修改,还有新增的接口.这里是找到一个用户查询的接口,主要是出现的关键字select ,这种查询关键字可以自己构造里面的参数 ,很容易就出现越权!
select:"*"=selct * from 表
这里访问这个接口参数是根据上面,找到js里面的接口需要的参数进行构造,这里有个前提需要登入,有jwt令牌需要认证.
然后我就手把手跟十一来分析下面这些json请求是干什么的。
下面的参数查询主要是通过org_id组织字段进行的查询遍历
select是查询字段这里本来以为只能查出来id,name
但是我就跟十一发散思维嘛,就想着是不是可以改成其他字段,比如email id_card,身份证号字段,然后直接出来了,这里没放图了。因为学员跟我说要不直接*,果然直接所有信息都出来了,果然青出于蓝而胜于蓝。
拿到账号密码后可以直接登陆他人账号,美滋滋
但是只拿了部分的人的信息,就想着能不能整个高危哈哈哈哈,然后就直接遍历了里面的org_id字段试试
发现可以利用爬虫把所有组织号都爬下来了,这不就把所有人的账号密码信息都拿下了,然后美滋滋的交到edusrc平台,拿下高危
直接爆破起飞。。。。。。
结尾
一次愉快的四小时带挖拿下了交大证书,希望各位同学能学到技巧挖到证书,加油宝子们!!!
原文始发于微信公众号(湘安无事):【证书挖掘】某证书站挖掘报告-学员分享
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论