实战 | 某大学综合漏洞挖掘

 日常EDUSRC上分，看到群里的师傅都是用0day刷屏，DD就只能羡慕了。

 回到正题，访问到某学校登录认证界面，可以看到登录界面上没有验证码，账号是学生学号和教师工号。

 测试点：SQL（无）、爆破（√）

通过信息收集到学生的学号后尝试爆破弱口令，成功爆破出几枚用弱口令的学生账号密码。

利用弱口令成功进入到管理界面，查看系统的功能点，把每个功能都点一遍，查看到相关接口泄露了信息。

查看到另外一个接口，遍历接口可以获得全校用户的用户信息。数据包含password、token字段

登录替换password字段可以任意登录用户的账号

教师的工号信息从另外一系统上也成功获取到。

获取完成在利用教师的工号去爆破，成功爆破出弱口令，并登陆成功。

个人资料—水平越权，修该userId可以查看其他老师的信息

访问到教务系统任意文件下载

访问图片提示文件不存在：

http://xxx.xxx.xxx/downloadservice!getIcon.action?filename=PXRlYXpwPTE5ODg5NjAzLmpwZw==&0.39213768540383365

抓包查看,filename的参数是base64加密

 解密后发现加载的是图片

 修改访问的路径，再次编码

修改payload后访问，成功读取到passwd。

访问到学工系统，先查看一波使用的框架，spring的

 访问/env显示出日志信息，有可能存在未授权。

抓包打一波payload，把GET请求改为POST,地址是自己的VPS.

POST/refresh 刷新配置，成功反弹shell，拿下。

最后上分成功。