记一次异常曲折的edu证书站挖掘

前段时间挖到了两个证书站大学的漏洞有点上头，正好最近某济大学也上新了证书，这精致的外表我是越看越喜欢，于是掏出我心爱的工具箱准备对同济大学进行一次测试(主要是为了水证书)。

老样子，还是先来一波信息搜集，使用oneforall先扫子域名

一番扫扫扫下来，我发现同济子域名，各种系统还正儿八经不少，此时我便有了一个错觉，觉得这个证书站应该很好拿下，特别是看到两个低危就能兑换一个证书时心里更是美滋滋。但是此时的我，丝毫没有注意到问题的严重性，于是很快就被上了一课。

按照我个人习惯，快速打点过程中顺便测试一下敏感信息泄露是经常使用的方法，于是我便结合httpx先对子域名进行一个存活探测，前段时间从辛巴大佬那里学到一些骚操作现在就派上了用场，在扫描过程中，使用-path参数加上一些敏感文件路径，比如/admin，/api/users包括一些源码文件比如/.git。这里说一个比较小众的/.DS_Store和/WEB-INF/web.xml文件泄露，这些泄露在可以利用的情况下edusrc都是收的。

但是一番操作猛如虎，结果经过测试啥泄露都没有，安全的一批。这个时候的我才逐渐认识到了问题的严重性，没挖到敏感信息泄露啥的不慌不慌，继续测试就行，掏出我的资产打点利器finger对重点资产进行打点。

资产扫描结果

对于这些资产，我费了很大的功夫去测试，但是一无所获。

测到这里不禁让我开始怀疑人生，不愧是证书站大学啊，外网基本上都被师傅们摸的干干净净的了，就算是想挖个低危的洞都难。

到了这一步，为了扩大资产范围，只好想办法搞到一个内部人员的账号，去测试它的内部系统。这里我一般用到的方法都是通过前期的信息泄露漏洞，搜集学工号，sfz号，手机号之类的信息进行爆破，或者直接进行社g。当然这块比较敏感一点我就不细说了，感兴趣的时候可以加我私聊。

我们也是很幸运的获得了一个学生的账号，顺利的进入到统一身份认证系统。

这种时候，我最常测试的漏洞就是越权，事实证明我的想法完全正确。

首先是找到一个就业系统。

发现有一个创建简历的功能点

这个时候掏出我的burp抓包，发现一个这样的数据包。

尝试修改参数，将97修改为98，成功返回了另外一位同学的个人信息。

在这里可以对这个参数进行遍历，通过理论上可以获得全校学生的个人信息。

越权漏洞+1

接着我们又把目光放到一处表格下载的功能点，其实在很多时候，这种表格包括成绩单，在读证明之类的文件包含了大量的个人信息，很多也存在越权漏洞，对于这些地方还是需要重点测试。

同样开启抓包，发现一个和上面数据包类似的包

通过修改参数，成功获取到了另外一名同学的个人信息。

越权漏洞+2

将测试结果打包交到edusrc上，心想着这怎么都能混个中危，睡了一觉起来发现漏洞已经审核了，不过居然是低危....

不禁感叹一下edu审核还是非常的"认真负责严谨"的...

低危就低危呗，我只好继续测，思路依然是以越权为主，这次我主要找的是一些上文提到过的在线文件的功能点。

找到一个可以下载在读证明的功能点

大概是这样的一个文件，在打印之前可以进行预览

同样开启抓包，发现一个这样的数据包

修改参数成功越权看到别的同学个人信息。

同样打包提交，终于混到了一个中危，给了2rank

最终战果...

一切还是以水证书为目的，点到为止。由于是实战外加涉及大量学生敏感信息泄露，所以我都是打了厚码，希望师傅们见谅。

欢迎各位师傅交流SRC挖掘经验，交换证书站报告！！！！

原文始发于微信公众号（LK安全）：记一次异常曲折的edu证书站挖掘