记录一次cnvd挖掘过程

曾经的我，以为挖掘cnvd是一个非常遥不可及的事情，注册资产5000万黑盒10案例（目前还不会代码审计吖，后续会努力学习吖！）这个门槛就已经难住我了（脚本小子的自述）。

事情的转机在于某次挖掘edu的过程中,且漏洞都非常小白，无任何技术含量，师傅们看个热闹就好了，在校学生只想赚点生活费。呜呜呜呜~~~~~

主页界面常规漏洞测试一波，如弱口令，以及登陆框注入，均无果，发现还存在一处密码找回功能。

找回密码界面。

每个参数挨个测试一下最简单的注入加一个单引号’ 当然也仅仅限于为我这种偷懒型选手了，对于int型注入点如果做了报错处理可能无法探测，各位师傅们挖洞的时候不要学我一样偷懒哦。

运气果然很重要啊，阿巴阿巴，直接出货，且目标不存在waf直接上sqlmap跑了

Dba权限sqlserver数据库，直接起飞，难得找绝对路径写shell了直接os-shell 成功获取权限，而且可回显。

通过企查查查询了一下开发单位,发现资产过5000万，接下来只要案例满足10例就可了，fofa查询相关关键字，收集一波站点。

还算不错，阿巴阿巴，整理整理继续肝，一个良好的开端从有洞开始，

于是想着写一波脚本，批量跑一下admin账户的弱口令，这么多站点，我不相信没有一个弱口令，大概看了几个站点，发现一模一样的站，于是直接在某个站点本地F12 看他登陆请求包，然后写脚本，批量跑一下

又尝试了另一种方式，感谢fengxsone老表给我说的这个selenium自动化测试模块，阿巴阿巴，顺便拿来练练手，这里简单介绍一下呀,百度无所不能。

通过pip install selenium 或者在pycharm中搜索安装模块即可

这个模块呢，非常非常简单哈，安装完成之后，需要下载对应浏览器对应版本的驱动，之后就可以愉快的玩耍了，有兴趣的师傅，记得看开发手册吖，我觉得我讲的太low还是打扰了

Run一下之后就是一个慢慢等待的过程咯

大约跑了20几个站点之后，成功使用admin—123456进入后台。我的脚本也gg了，没有写跳转的操作，我菜，阿巴阿巴

进入后台后，一通操作，找到一处上传点，but上传到的路径居然传到一台文件服务器上面去了，虽然能拿到一个文件服务器的shell，但是估计其他站的文件也是传在这个服务器上面，溜了溜了。

继续fuzz，注销登陆，之后重新登录同时使用burp抓包，单独拉出来放包，请叫我打码小王子。

发现并未存在session或者token参数。于是直接到其他站点，随意输入账户密码，替换返回包。直接越权到admin账户。

接着fuzz，该测的测了，但在密码重置处倒是有点东东，身份证只要输入存在的账户，手机号输入自己的即可将验证码发送到自己的手机

所以说这里我们只需要获取到可登陆的身份证即可用自己的手机号接受到验证码，于是登陆，后台，在用户管理界面抓包。之后就是慢慢删除cookie的过程了，这里推荐一下burp的这个功能，贼好用

在这个功能模块中，可以快速的fuzz cookie简直不要太舒服，最后发现只需要

一个schoolcon参数，即可未授权访问，而且schoocan参数在加载页面时就已经有了

整理开交，阿巴阿巴。

假装一段时间后~~~~~~~~~~~~~~~~~~~~~~证书下来了，嚯嚯，起飞。

阿巴阿巴，太没有技术含量了，各位师傅们见谅，才入门还要学习的东西太多了，有想要一起学习互相监督。