好挖的嘞！EDUSRC某证书站打到小通杀[未授权访问+逻辑漏洞]

  前言：

上篇文章《对于黑客(红队)攻击后渗透痕迹抹除的一些研究》中在后面的

隐藏ssh公钥的命令时下面的描述写差行了本来下面的描述应该写在清除web端的痕迹的，现在补充一下吧师傅们见谅，使用上面这条命令就不会在目标留下ssh公钥文件。

证书站SRC：

前几天一个师傅给花某发了个信息

第一感觉：眼红！

第二感觉：这个证怎么没见过。

原来是edu上的新证

然后就打算赶紧试试等时间长了挖的师傅一多就难了，而且听说发货速度特别快几个师傅没到1周就拿到手了。

未授权访问：

  有个师傅给花某发了个账号说是基本上这个学校的系统都能登录，是个学生账号

然后就迅速去做信息收集了，照例就是先主站看看能不能捡洞

找了一圈主站没啥就一个校园网指南，手速慢了主要的一些资产还是被师傅们盘了，然后打算去仔细搜搜看看。

资产测绘：

搜了一大圈其它的几个测绘引擎就给大家省略画面了啊最后分别找到了：

身份认证平台：

某某交付系统还是sxf的：

WebVPN：

论文设计：

又一处认证系统：

然后就是慢慢理一下现有线索了，先整理各个系统：

相比于其它证书站资产算是多的了，在整理整理现有的其它一些文件之类的：

VPN手册*1

版本信息*1然后再根据自己手中的账号筛选出一批能登录进去的：

筛选出来只有4个了目标还算多，然后有个是深信服的交付系统难度比较大，在考虑范围内的证书站的话主要就是混证为主hh，一个身份认证系统也舍弃，因为是统一模板挖其它高校的洞的时候基本都测的差不多了。

  这样一盘的话供测目标只有一个缴费和学期管理系统了先试试缴费系统：

用账号登录之后就打算浏览功能点看看有无突破口。

一处配置信息的地方，头像上传点尝试文件上传：

返回错误，这点pass了这块写的比较简略了并不是因为一次没成功就pass了而是尝试了多次绕过都不成功。

随后就在一处发现【导出个人课程信息】功能：

发现存在学生报名后的【姓名】+【身份证】+【电话号】+【课程介绍】等等信息

随后换个浏览器，没有保存cookies也没登录过这个系统的浏览器直接清除浏览器缓存也可以。

然后在回到刚刚导出表格的浏览器找到下载链接：

复制路径：

http://xxx.edu.cn/adjf.php/int/class  mate.html?classtime=2023&lome=20&sit=ture

中的：/adjf.php/int/classmate.html?classtime=2023&lome=20&sit=ture去没有保存cookie没有缓存的浏览器看看能不能直接下载到文件：

成功下载到课程信息。

未授权访问+1

逻辑漏洞：

  随后再到另一处可登录的系统看看

一开始没着急登录，登录处发现了【忘记密码】功能。

随后点击【忘记密码】进入修改页面：

要求输入手机号，但是这块手机号是未知的打算看看网络包；

请求存在参数，参数为：

https://xxx.edu.cn/find/password?from=1

改包为:

https://xxx.edu.cn/find/password?from=2

放包：

成功变，但是这块的学号依旧是未知所以直接改到：password?from=3

试试。

成功转到密码修改页面，修改密码后成功修改原本密码。

逻辑漏洞+1

总结：

  前面的未授权的下载在HTML里找到了指纹线索

FOFA和其它引擎共搜到13个站，而第二个找回密码的洞因为在越权前还得知道用户名这样才能在【忘记密码】功能精准的修改本账号的密码所以搜到同模板没账号的话也无法利用所以就先只交了本校这一个。

最后祝各位师傅 520快乐！

原文始发于微信公众号（flower安全混子）：好挖的嘞！EDUSRC某证书站打到小通杀[未授权访问+逻辑漏洞]