一次edu SRC报告

上课闲着无聊到处看公众号的文章，翻到了某学院的财务系统

这写的好简陋，逃课回去拿电脑看看十有八九存在漏洞，不用想注入肯定不存在，而且这学校的WAF还挺厉害，无回显界面，直接封ip，一个select就封，我都是校园网和热点一起上的

先看看用户注册

这也太随便了，直接身份证号就行，连邮箱都不用激活

轻松任意用户注册到手，但是可惜edu不收这种垃圾洞，继续吧，使用账号密码登录系统

好家伙验证码都是前端认证的，继续进行

这也太简陋了，系统也简单，但是注意这个url，直接访问IP看看咋样

开始高端起来了，使用之前任意用户注册的账号看看咋样

很好，啥都没有，算了还是回去上课吧，没啥意思，找回密码也看了，一样写的都简陋，去看看fofa吧，碰碰运气，看看存不存在弱口令

来了来了，感觉要出弱口令了，点这个链接，发现存在管理员用户名，但是密码要猜，这时候就可以爆破了，因为这个学校不存在WAF

但是存在验证码，但是之前appjf目录下面的哪个系统是前端验证的，这不就组合起来了吗

登录五次限制？开始我也是感觉不对，但是这个appjf目录下的着实写的不好，密码对了还是可以进系统

来了来了，直接进去了

既然系统都一样，拿会不会其他学校也存在这样的密码规律，直接去第一个学校的地方看看

来了来了，高危来了，最终这个系统基本上安徽十多万学生敏感信息了

都进系统了，进去测呀，未授权，csrf，文件读取，越权，都看看，继续继续

先修改密码看看，这里修改用户密码存在两处，一处是数据库查看处，一处是用户管理查看处，这里都抓包尝试了

第一处：学生管理

sqlserver，这里的sql接口验证了身份，估计是不行了

第二处：用户管理处
本来以为这里调用的应该是同一个接口，但是这里的接口是不一样的，而且可以看到只需要遍历userID，即可修改全校学生
产生原因：未对接口处的cooki进行身份验证，导致直接修改密码

不出意外又是通用，这里cookie写的薄弱，拿继续看看关于cookie的地方。之前任意用户注册起到作用了，直接使用之前的用户，把cookie拿出来就行。把管理员的cookie删了，换上自己注册用户的cookie

直接越权了，可恶，刚和老师说就修了，文章都没来及写

1、任意用户注册：直接抓包发现，看回显值，没想到这里连邮箱激活都没有，验证码还是前端验证的

2、弱口令的发现：使用fofa寻找了一圈，得到了这个管理员用户名，然后再不存在waf的学校进行爆破，得到弱口令

3、任意用户密码修改：两个用户修改密码修改，一处在数据库管理处，一处在用户管理处，两个接口不同，其中一个接口未鉴定cookie，另外一个鉴定了cookie（这里cookie校验也不严谨，导致产生越权），未鉴定cookie的修改密码处，直接可以将全校学生密码修改，但是这个漏洞的缺点是：userID不是学号，数据包中userID需要遍历，而且数值大，但是这个系统的userID大概范围是一样的，而且管理员的userid无法改变

4、越权：这里产生的原因是因为cookie鉴定不严谨，仅鉴定了是否登录，未鉴定是否管理员，导致一个学生可以访问全校学生的敏感信息

5、估计这个系统还有漏洞，但是不想挖了，交报告交的头都大了，edu也没脚本交报告，点到为止吧，漏洞已全部提交至edu平台。

原文始发于微信公众号（李白你好）：新鲜出炉的edu SRC报告