前段时间颓废了很久,每天都在打游戏玩手机,某天晚上深思良久,愧疚感蹭蹭往上涨,碰巧看到群里某老哥挖了个某开,便想着也去搞一个。
之前都听说某开很难搞,直接搞子域名可能难度比较大,聪明如我当然是直接来到fofa找C段。通过搜索到的一个某开资产,来到https://www.ip138.com/这里查询,也是直接确定了一个C段。
C段找到以后,直接上手扫了一遍,找到一个目标资产瞬间引起了我的兴趣。
为啥呢,因为我看到了注册按钮。这踏马的,一看就像是有洞的感觉。
有注册,就说明有用户。有用户,就说明存在越权,信息泄露,xss等等漏洞的可能性比其他站点的可能性更大,也更容易出洞。
但这也就仅仅1个rank。得想个办法搞个中危才行啊。
网站是基于session来标识用户身份的。而常规的修改参数越权,也几乎不存在。
因为用户这一块,功能太过于单一,登录进去就一个修改密码,修改昵称等等。所以用户这一块,基本上找不出什么漏洞。
常规漏洞应该是出不了了,那看看有没有任意密码重置啥的逻辑漏洞。
http://xxxx.edu.cn/admin/public/login.html
想着爆破一波管理员密码,但是有验证码没法搞。但我还是试了十多个非常常见的弱口令。
毕竟头铁,有一次针对管理员密码无法爆破的情况下,靠着一个一个试弱口令,试了几个就出来了。所以这种耗费时间不大,收益极大的事情,该头铁还得头铁,好了,不过话说回来。我这里没有试出来。
直接返回一个报错页面,发生肾么事了????原来是onethink。
马上啊,对着版本号搜了一波,果然,这个版本好像是有洞的。
正当我payload打过去,以为中危稳了的时候,踏马的,有狗!
WAF不会饶,而且有可能绕过以后也不一定有洞,所以这个点我是放弃了。扔给搞硝师傅看看。
扫了一下端口和目录,也没啥可测的。放弃放弃。换下一个目标,可别在一棵树上吊死,不然等会天就亮了。
经过一段时间的苦找,又入手一个目标,是一个邮箱系统。
疑惑的地方诞生了,burp无法抓包,而且一直处于响应状态:
第一个想的是可能有js验证账号等。但是js我翻找了一遍,发现并没有。那么有可能就是站点功能缺失。
如此说来,这是个垃圾站,功能都没有做好。这种缺少维护的站可能出洞的几率也是比较高的。Burp无法抓包。其他的目录端口也无敏感点。只有从js文件等入手,查看有无暴露的敏感信息,比如用户密码,接口,cms等等。
![实战 | 某开大学的漏洞挖掘之旅]( "实战 | 某开大学的漏洞挖掘之旅")
测一手目录穿越,访问code文件夹
http://xxxxx.edu.cn/xxxxxxxx/code/
存在目录穿越,尝试访问他的不同文件夹,看看有无敏感信息文件泄露。
(这里我觉得是一个比较有价值的点,可以查看用户的收发文件,不免有很多敏感文件,比如入学申请书等等,文件是很多的,直接会卡一会。就不放太多文件内容了,比较敏感):
图片.jpg 这里找不到图片了。但是可以确定的是,可以查看用户发邮件的部分内容。
其他泄露的敏感文件还有很多,例如日志信息等等,这里不进一步深入了,已经足够拿中危了。打完收工。
https://www.hetianlab.com/expc.do?ec=ECIDb06f-9bfa-4e0a-80af-36af7391a643&pk_campaign=weixin-wemedia#stu
ThinkPHP,从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,注重开发体验和易用性,为web应用开发提供了强有力的支持。通过该实验了解ThinkPHP5远程命令执行漏洞的原因和利用方法,以及如何修复该漏洞。
![实战 | 某开大学的漏洞挖掘之旅]( "实战 | 某开大学的漏洞挖掘之旅")
本文始发于微信公众号(合天智汇):实战 | 某开大学的漏洞挖掘之旅
测一手目录穿越,访问code文件夹
评论