免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责。
|
大家可以把安全绘景设为星标,这样就可以及时看到我们最新发布内容啦!
0x01前言
前两天发的远秋医学在线考试系统任意用户登录漏洞分析中提到可以通过权限绕过登录管理员账号,但会校验当前登录状态,如果非系统管理员登录状态只能获取普通管理员信息,最终也只能登录普通管理员后台,是没有考务人员档案和系统管理权限。
0x02 漏洞复现
通过代码发现当intAdminType的值为0,当前用户为普通管理员是没有考务人员档案和系统管理权限。
在YQExam.Web.Manager.Ajax.User中存在编辑管理员的功能,且intAdminType可控,当intAdminType值为1则当前用户为系统管理员,0为普通管理员。
这段代码会判断当前登录用户的lngCreateOperatorId和txtManagerId值,如果传入的txtManagerId空则添加一个用户,否则将修改lngOperatorID值所对应的用户信息
跟进ManagerBll.Add方法发现会对传入的值进行的校验,如果lngCreateOperatorId值为0或未登录则会添加用户失败
这里使用之前读取密码的漏洞随便登录一个普通管理员,使用普通管理员登陆后的cookie即可越权添加系统管理员账号。
推广一波自己的星球:
安全绘景:持续更新0/1day的poc、红队技巧、实战文章、实用工具等资源,欢迎各位师傅来扰,不满意直接退款。最后祝愿各位师傅天天高危
原文始发于微信公众号(安全绘景):0day|远秋医学在线考试系统任意用户登录之越权添加系统管理员(梅开二度)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论