记一次EDU运气加成的高危漏洞挖掘

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“亿人安全“设为星标”，否则可能就看不到了啦

原文链接:freebuf社区

https://www.freebuf.com/vuls/399938.html

新手小白在FreeBuf的第一篇文章，喷的时候轻点哈，作为小白，这个洞有很大的运气加成的。

一、五一闲来无事（我真不想出去玩），找个edu站看了一下

现在挖web的已经很少了，基本都去挖小程序了，像我这种小白只能捡别人挖剩下的。

功夫不负有心人，看到这个系统有个注册的地方，看到这里还是要尝试一下的。

好家伙，这里可能不允许注册了，验证码愣是等了2分钟没等到。

不过也没关系，注册不了用户就去登录页面，看看有没有什么逻辑漏洞，认证缺陷之类的。

登录的时候发现是没有admin这个用户的，应该是用户名有限制≥6位

其实遇到这种情况，大家可以看看前端js有没有信息泄露什么的，比如在js里搜索 auth、token、password这些信息，有些敏感信息是泄露在js的，如果能找到的话，可以省很多事。

F12 真的是一个好习惯。

果然，我太菜了，这里没找到。

不管了，点击登录打开burp 抓包看看

查看一下相应包，有个401。

没准有戏，把http：401 改成200，code：401，改成code：200果然！

果然行不通，就进去了一瞬间，还没爽就出来了。

不过不要灰心，下面就是运气加成的高光时刻！

虽然没有登陆成功，但是通过burp可以抓到好多接口的信息，于是挨个看了下信息内容！这个接口是泄露了一些管理员用户的。

于是把typeID=1 ，修改成typeid=0，相信大家看到这些参数都会试试，没准有什么意外惊喜，

就好比我这次，这下把所有管理员和用户的 账号全泄露了，不过这样交上去肯定也没啥用的。

泄露用户名不算危害，能利用到，才算危害。

秉着试一试的运气，一不小心试出一堆弱口令

弱口令就甘心交上去吗?肯定不行呀，于是进了系统看看，发现了一堆用户的信息。

进入到系统之后，肯定所有的功能都要点一点的，于是找到了一个修改个人资料的页面，尝试一下看不能越权。

手机号改成66666666666 然后点击保存，看看burp上的数据包

这里把userid 改成其它管理员的userid，看了一下响应码，成功了。

下面就是验证了。

修改成功。

到这里又看了其它功能点，没什么可利用的地方，找了一个更换头像的点试了一下文件上传，可惜没解析，尝试了其他办法也不行。

至此挖掘过程结束。

大家做测试的时候在不造成恶意影响的同时也要保护好自己，主打适可而止。

以上相关测试信息测试完成后均已恢复，漏洞均已报告给相应学校且已修复。

原文始发于微信公众号（亿人安全）：记一次EDU运气加成的高危漏洞挖掘