本文由掌控安全学院 -
郑居中
投稿
1. 寻找资产
在进行edu漏洞挖掘的时候,我们常常遇到统一认证平台,账号是学号,密码是身份证后6位(甚至是更复杂的密码),同时找到这两者的几率很小,所以我们把关注点放在微信小程序中,因为微信小程序存在一键授权登录,不需要本校学生的学号和密码(小部分),这里我们找学校的小程序,直接搜索大学,职业学院等字样
2. 开始渗透
随便点进去一个来,手机号一键登录,这里一键登录可能存在泄露session_key,可以造成账号接管的风险,我的前几篇文章写过session_key泄露利用方式,师傅们可以去了解一下,话不多说,回到正题,功能点都点一点,看到一个身份证的功能点
这里观察数据包,可以看到只有我的手机号,因为我没有实名认证
骚思路1
仔细观察数据包,原路径是这样的,猜测开发人员的思路,在后面添加/list,可能存在
原路径/prod-api/system/info/small/userId修改后的路径/prod-api/system/info/small/userId/list
修改后的返回包
可以看到并没有,这个这个路径,那这样就放弃了吗?显然是不可能的,删除前面的路径,当删到info时,直接回显了,其他人的实名认证的信息,而idPhoto,就是sfz存在的地址,太敏感所以这里不放出来了
/prod-api/system/info/list
骚思路2
默认只有10条信息,想要获取更多的数据信息,观察其他的数据包,发现他们控制输出内容的参数是?pageNum=1&pageSize=100,直接拼接
就得到了大量的sfz信息和手机号
骚思路3
继续思考,将info改为user,发现显示管理员的信息
/prod-api/system/user/list
原文始发于微信公众号(掌控安全EDU):漏洞挖掘 | EDU拿敏感信息的骚思路
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论