EDU两个证书站的漏洞挖掘记录

admin 2024年9月27日18:11:00评论6 views字数 831阅读2分46秒阅读模式

证书站1越权遍历

确定好目标之后,直接谷歌语法开搜,这里在图书馆系统是看到了初始密码规则

EDU两个证书站的漏洞挖掘记录

直接启用秘籍,找到了几个学号以及身份证,这里成功登录一个

EDU两个证书站的漏洞挖掘记录

学生账号,功能点可以用的很少,在一处教师反馈处找到了一些信息

EDU两个证书站的漏洞挖掘记录

这里从返回包是可以看到老师的职工号的,记录下来后面有用

EDU两个证书站的漏洞挖掘记录

统一认证忘记密码处

EDU两个证书站的漏洞挖掘记录

可以确定用户名是真实存在的

EDU两个证书站的漏洞挖掘记录

测了半天也没测出来啥,直接转战小程序,直接打开第一个校园卡小程序

EDU两个证书站的漏洞挖掘记录

这里密码就为身份证后六位,成功登录

EDU两个证书站的漏洞挖掘记录

这里测了半天也是无果,都准备换站点的时候在下面功能点发现有一丝不对劲

EDU两个证书站的漏洞挖掘记录

下面是原有的数据包,返回的是这个用户的信息

EDU两个证书站的漏洞挖掘记录

看到返回包sno字段为学号,这里手动给他拼接一下,成功返回了别人的jwt还有身份证等各种信息

EDU两个证书站的漏洞挖掘记录

这里直接查询之前获取到的老师的职工号,也是返回了身份证等信息,这里就可以遍历所有的老师学生信息了

EDU两个证书站的漏洞挖掘记录

最开始也知道教职工的初始密码规则,这里直接去登录统一身份认证,成功登录,功能点非常多,不过上面漏洞够高危了就不费力去测了

EDU两个证书站的漏洞挖掘记录

证书站2sql注入

某校园缴费平台,点击功能点会先进行查询电费
EDU两个证书站的漏洞挖掘记录
原本数据包
EDU两个证书站的漏洞挖掘记录

单引号报错,报错就能注

EDU两个证书站的漏洞挖掘记录

不过单引号是过滤的,unicode编码绕过一下

EDU两个证书站的漏洞挖掘记录
现在可以确定存在注入了
EDU两个证书站的漏洞挖掘记录

注释符是不能用的,直接再加一个or进行闭合

'and 1=1 or 'a'='1因为and优先级比or高,or后面为假,所以1=1true1=2则为fasle

EDU两个证书站的漏洞挖掘记录

1=2返回不存在

EDU两个证书站的漏洞挖掘记录
直接注user第一位'and ascii(substr(user,1,1))=69 or 'a'='1遍历69这个数字,第一位的ascii码为69,为E
EDU两个证书站的漏洞挖掘记录

当我注表的时候发现user()这个函数也是存在的

EDU两个证书站的漏洞挖掘记录

而current_user()则不存在,如果是过滤的话会返回系统异常,这说明是没有过滤这个函数的,这就很奇怪了,不知道是哪个数据库

EDU两个证书站的漏洞挖掘记录
后续经过测试发现没有database()函数,延时函数是过滤了的,没有len()函数,不知道怎么注表,有高手会的可以指导下

原文始发于微信公众号(起凡安全):EDU两个证书站的漏洞挖掘记录

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月27日18:11:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   EDU两个证书站的漏洞挖掘记录http://cn-sec.com/archives/3214791.html

发表评论

匿名网友 填写信息