免责声明
由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
前段时间挖到了两个证书站大学的漏洞有点上头,正好最近某济大学也上新了证书,这精致的外表我是越看越喜欢,于是掏出我心爱的工具箱准备对同济大学进行一次测试(主要是为了水证书)。
老样子,还是先来一波信息搜集,使用oneforall先扫子域名
一番扫扫扫下来,我发现同济子域名,各种系统还正儿八经不少,此时我便有了一个错觉,觉得这个证书站应该很好拿下,特别是看到两个低危就能兑换一个证书时心里更是美滋滋。但是此时的我,丝毫没有注意到问题的严重性,于是很快就被上了一课。
按照我个人习惯,快速打点过程中顺便测试一下敏感信息泄露是经常使用的方法,于是我便结合httpx先对子域名进行一个存活探测,前段时间从辛巴大佬那里学到一些骚操作现在就派上了用场,在扫描过程中,使用-path参数加上一些敏感文件路径,比如/admin,/api/users包括一些源码文件比如/.git。这里说一个比较小众的/.DS_Store和/WEB-INF/web.xml文件泄露,这些泄露在可以利用的情况下edusrc都是收的。
但是一番操作猛如虎,结果经过测试啥泄露都没有,安全的一批。这个时候的我才逐渐认识到了问题的严重性,没挖到敏感信息泄露啥的不慌不慌,继续测试就行,掏出我的资产打点利器finger对重点资产进行打点。
资产扫描结果
对于这些资产,我费了很大的功夫去测试,但是一无所获。
测到这里不禁让我开始怀疑人生,不愧是证书站大学啊,外网基本上都被师傅们摸的干干净净的了,就算是想挖个低危的洞都难。
到了这一步,为了扩大资产范围,只好想办法搞到一个内部人员的账号,去测试它的内部系统。这里我一般用到的方法都是通过前期的信息泄露漏洞,搜集学工号,sfz号,手机号之类的信息进行爆破,或者直接进行社g。当然这块比较敏感一点我就不细说了,感兴趣的时候可以加我私聊。
我们也是很幸运的获得了一个学生的账号,顺利的进入到统一身份认证系统。
这种时候,我最常测试的漏洞就是越权,事实证明我的想法完全正确。
首先是找到一个就业系统。
发现有一个创建简历的功能点
这个时候掏出我的burp抓包,发现一个这样的数据包。
尝试修改参数,将97修改为98,成功返回了另外一位同学的个人信息。
在这里可以对这个参数进行遍历,通过理论上可以获得全校学生的个人信息。
越权漏洞+1
接着我们又把目光放到一处表格下载的功能点,其实在很多时候,这种表格包括成绩单,在读证明之类的文件包含了大量的个人信息,很多也存在越权漏洞,对于这些地方还是需要重点测试。
同样开启抓包,发现一个和上面数据包类似的包
通过修改参数,成功获取到了另外一名同学的个人信息。
越权漏洞+2
将测试结果打包交到edusrc上,心想着这怎么都能混个中危,睡了一觉起来发现漏洞已经审核了,不过居然是低危....
不禁感叹一下edu审核还是非常的"认真负责严谨"的...
低危就低危呗,我只好继续测,思路依然是以越权为主,这次我主要找的是一些上文提到过的在线文件的功能点。
找到一个可以下载在读证明的功能点
大概是这样的一个文件,在打印之前可以进行预览
同样开启抓包,发现一个这样的数据包
修改参数成功越权看到别的同学个人信息。
同样打包提交,终于混到了一个中危,给了2rank
最终战果...
一切还是以水证书为目的,点到为止。由于是实战外加涉及大量学生敏感信息泄露,所以我都是打了厚码,希望师傅们见谅。
欢迎各位师傅交流SRC挖掘经验,交换证书站报告!!!!
原文始发于微信公众号(LK安全):记一次异常曲折的edu证书站挖掘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论