有手就行系列-一周拿下4个Edu证书站

前段时间打了几个证书站，打出了四个证书，，来水个笔记

0x01.某电科大弱口令

已经修复了，就发出来了，

电科大的站不知道被多少大佬摸过了，，打过一些站，看到有登录的地方就有几率出洞，我都会去看看，能不能进去一种说法，起码外网不是那种恶心人的僵尸站群。

很标准的UI设计啊，主站的管理web果然不差，，很给面子啊，找到一处登录的ajax，修复没法看到以前的报文了

验证码的刷新机制会去判断resuess的值，有问题，可以fuzz，

当时的想法是构造data的json{"username":xxx,}然后请求com.ifree.system.user.UserLoginAction接口，看看能不能越权

，跳转了，但GET返回某个字段username=untied了，大家都懂，可能有戏，知道用户名就有几率出洞了。

2.收集用户名

这个站被许多大师傅都摸过了，但他还存在这里，日不动是有原因的。后勤的站，当时就随便转悠，

看到这些，有了思路:发文的人，是不是都有权限发文，那他们是不是都有权限登录？那用户名是不是都和这些人信息有关？

制作字典的高频词，(1).姓名+年月 (2).工号，

拿123456去fuzz一下，一发入魂，

后台没啥功能点，有一处能编辑和删除的按钮，，抓个包，article_id未鉴权，任意文件删除到手，证书有了

看第二个证书站

0x02.某外国语TP2命令执行bypass

是他们学校的ITC，给老师做预约的，管理员是学校信息中心的，关站了而且不会再开了。

一个特别显眼的位置，某外国语都被大师傅们不知道摸了多少回了，这些地方早摸过了，，进去后，看到返回包

有TP2.1的报文，apache,php5.3，这种站，谁不测谁孙子

由于他在内网，无法直接用poc打，但后来我发现，如果poc是有效的，还是可以绕过路由的，不需要登录也能打。

之前没接触过tp2框架，这种都是网络中心觉得自己牛逼搭建的，

运气很好，找到一篇大佬写的文章，https://mp.weixin.qq.com/s/XHdIaWYA7hTCzRnBDBeEog

payload:/index/a/b/c/${@print(($_POST[pink]))} 有回显

后面通过/index/a/b/c/${@print(($_POST[pink]))}还可以传参，还可以这么玩，打印phpinfo失败了，有waf，看了下有人交过了命令执行的，大概率就是这个洞，测了一段时间，想起来up哥的tp审计牛的一批，直接丢给up哥了，后面都是up哥的操作了，这里贴出up哥的绕过bypass，牛的一批。

https://mp.weixin.qq.com/s/XHdIaWYA7hTCzRnBDBeEog

然后，测到后面，命令执行，拿到了源码，

看到有cas备份，禁不住诱惑，触发警报了，第二天管理就关站了，到手的证书飞了。。

但我是那种只刷一个站的人吗，这不前几天又出了个证书站

0x03.新疆某通大学信息泄露

听群友说，这个一洞难求，坑的一批，就两个资产，主站和一个统一登录。

我也是无所谓的试试看，毕竟大家都测不到，不代表我测不到，

1.google信息收集

site:xxxxxx filetype: pdf  site:xxxxxx filetype: xls  site:xxxxxx filetype: docx

什么内容都没有，很不科学啊，这里，难道管理员不发文件的？然后去通知公告里发现用了VWebServer,

这不是某广名族大学僵尸站群的框架吗？

直接去翻附件，找到一份名册，

ok，第一个吃螃蟹的人，

这些就结束了吗？不，还有一个交大的高危

交大的，单纯的blame哥帮我挖的，学到了姿势后，马上挖了某南政法大学的越权

漏洞出在通讯录的位置，匹配的时候有参数id，

接口是api/v1/admin/contact/get 很像spring的接口，通过遍历id的值，任意查看联系人信息

ok，最后帮blame哥打个报告，199一年星球，，来了绝对不后悔，你能学到的如下链接

https://mp.weixin.qq.com/s/B83JMNUPEsmHql6BgH3OvA