原创作者:瓜子本文系作者原创作品,未经作者授权任何单位和个人不得以任何形式和手段复制、转载、传播或利用本文内容。
今日照例,挖掘EDU漏洞,看到某学校存在一个登录窗口。
那么碰见登录窗口,我们一定要试下老三样,
分别是:存不存在用户名可枚举、明文传输、暴力破解。(万一存在这不就3个洞啦)
用户名输入admin,密码随意输入试试
返回如图所示的提升信息,那这就说明用户名既可以是账户,也可以是代码和手机号
但这个登录框存在验证码,我们要先试一下验证码是否可以绕过
抓包放到repeater试试
经过多次放包,发现验证码并不强制刷新,存在验证码缺陷。
但密码是加密的,所以我们只能枚举下用户名看看存不存在用户名可枚举的吧。
接下来开始抓包,对用户名进行FUZZ测试
对用户名试了几个字典,没试出来,机构代码的话也不知道是啥,看来只能以手机号入手了。
用谷歌语法搜集了一波,也没发现有用的手机号
就在山穷水尽疑无路的时候,想到了我还有一个手机号字典没有尝试,便找到开始尝试
开始梭哈!
经过测试,果真被老哥我试出来啦!
不过这个手机号也太偏了
接下来就是尝试弱口令了,由于密码进行了加密,所以我们只能先枚举看看存不存在弱口令了
枚举了几次,感觉这个管理员安全意识不太好,用户名密码相同,轻松进入该系统
且系统里发现大量信息泄露
接下来就是看看有无其他高危漏洞
经过测试,发现一处存在SQL注入
正常抓登录包的时候,返回900多毫秒
我们在XibuId处输入payload:1%20AND%20(SELECT%201837%20FROM%20(SELECT(SLEEP(5)))QAmo)
存在显而易见的延时
那我们判断存在延时注入
放到SQLmap跑一跑,也可直接跑出数据
最后直接
sqlmap -r post.txt --batch -v 1 --thread 5 --technique=T --sql-shell --current-db
拿下shell
收工
原文始发于微信公众号(WEB安全研究员):某EDUsrc漏洞挖掘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论