证书站1越权遍历
直接启用秘籍,找到了几个学号以及身份证,这里成功登录一个
学生账号,功能点可以用的很少,在一处教师反馈处找到了一些信息
这里从返回包是可以看到老师的职工号的,记录下来后面有用
统一认证忘记密码处
测了半天也没测出来啥,直接转战小程序,直接打开第一个校园卡小程序
这里密码就为身份证后六位,成功登录
这里测了半天也是无果,都准备换站点的时候在下面功能点发现有一丝不对劲
下面是原有的数据包,返回的是这个用户的信息
看到返回包sno字段为学号,这里手动给他拼接一下,成功返回了别人的jwt还有身份证等各种信息
这里直接查询之前获取到的老师的职工号,也是返回了身份证等信息,这里就可以遍历所有的老师学生信息了
证书站2sql注入
单引号报错,报错就能注
不过单引号是过滤的,unicode编码绕过一下
注释符是不能用的,直接再加一个or进行闭合
'and 1=1 or 'a'='1
因为and优先级比or高,or后面为假,所以1=1为true,1=2则为fasle
1=2返回不存在
直接注user第一位
'and ascii(substr(user,1,1))=69 or 'a'='1
遍历69这个数字,第一位的ascii码为69,为E
当我注表的时候发现user()这个函数也是存在的
而current_user()则不存在,如果是过滤的话会返回系统异常,这说明是没有过滤这个函数的,这就很奇怪了,不知道是哪个数据库
原文始发于微信公众号(起凡安全):EDU两个证书站的漏洞挖掘记录
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论