点击上方蓝色字体关注我们
///////前言
本文所有漏洞均已提交edusrc,我挖洞比较佛系,漏洞也比较基础,主要是为了记录一下最近挖的漏洞过程和思路,这篇文章没有什么技术含量,各位师傅轻喷~
(全文纯手打,如果发现有错误的师傅请及时联系本人~)
我们拿到一个站点ip先进行端口搜集
发现开得端口还是很多的
88端口发现一个默认的nginx界面,一般这种默认界面运维人员可能站点放在二级目录下
直接上工具扫二级目录访问office跳转到89端口说明了88端口和89端口有挂钩
除了mobile 其他全部跳转到89端口我们访问mobile目录看看
这里是任意密码登录进去的,后端开发不严谨导致的任意密码登入,一个中危到手
上面发现88端口跟89端口挂钩那么说明账号也是互通的,而且admin是通过任意密码登入的也不知道密码是多少,尝试搜集其他账号登录89段端口的web端
发现一个通讯录应该有其他账号的信息
果然很多个人数据但是没有账号,只有手机号
通过brup抓包发现可以抓到账号,查看有没有测试用的账号一般测试账号都加01或者1我们直接搜索01看看,看到一个虚拟中层01一个是一个测试账号,抓到账号xnzc01
利用密码任意登入成功登入xnzc01
来到修改密码处一般测试账号都是弱密码直接bp爆破修改密码
爆破成功直接把密码改成123456
尝试用账号登入89端口
成功登入89端口的web端
在账号切换处可以切换其他老师
直接抓包居然明文显示密码
然后看了看checkUserId是不是很眼熟88端口的web端看到过直接返回88端口登入admin抓取checkUserId
拿到userid返回89端口的web端抓取管理员密码,成功拿到管理员密码
到这基本上就结束了,拿到管理员密码后台没文件上传拿不到shell,姑且作罢,不过也混了个中危
又混一张证书
原文始发于微信公众号(Poker安全):记一次edu证书站漏洞挖掘过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论