记一次某EDU的证书挖掘过程

获取信息既然是证书站，那就是很多人在挖开头自然是常规资产收集

如图所示，该插件可以辅助信息搜集不过有时候仍有遗漏会出行目标资产不在IP段内的情况

信息收集里最重要的一个是账号，这个不难搞到，不管是google语法，还是混进QQ群找找文件或去各种渠道买一个，去贴吧或者站点下载界面到处翻翻，基本就找到了，然后根据收集到账号的格式在web上找一个接口进行爆破，拿到确切的一部分账号，用于后面的渗透。

然后我找到的一个突破口是在公众号。

可以看到，密码默认为身份证后六位，这时就拿前面收集的账号进行爆破，试了试，没有成功，猜测默认账号登陆后会要求强制修改密码（后面的事情证实了这一点，当时不知道），虽然直接爆破是没戏了，但是呢。。。。找回密码是可以突破的

如图所示，他找回密码要的是身份证后六位，经测试，这个验证码是前端的，可以绕过，然后经过数十分钟的爆破，成功拿到了两个账号密码，登陆！

登陆上去之后发现没什么可以利用的东西，只有部分个人信息，但是在前面的信息收集过程中，同样有一个web站点，跟这个系统名字是一样的，猜测应该是这个小程序的web端，于是登陆web端。

成功拿到的个人身份等详细信息，到这里，一个任意用户密码重置的逻辑漏洞就出来了。

从第一个洞获取的信息在该校的身份认证界面，通过账号 + 身份信息，成功修改密码，登陆统一认证系统，由这里，进入内网系统。

内网系统中，有一个叫做XXX校园的东西， 点击便可直接登陆，以当前登陆webvpn的某人身份，无需再次输入账号密码。

burp开启拦截，点击，在数据包中发现了我正登陆着Webvpn的学号，这。。这。。自然要改一改，随便改了一下，发现可以水平越权，数据包中账号是谁，登陆的就是谁的XXXX学院。

然后，我灵光一闪，把参数改成了admin，成功以管理员身份登陆，XXX学院。。。交叉越权到手。

还记得我们在之前的第一个小程序的那里说的吗？我们拿到了两个账号， 这里刚好派上用场。

在webvpn中，有一个*务系统， 打开之后可以上传文件。

试了试任意文件上传传倒是可以传上去。但是打开就是下载没有办法绕过。

但是在文件上传之后还可以删除我在传上去测不出来任意文件上传之后，顺手点了删除抓了下包，发现，删除文件是绝对路径。那肯定要试一试，前面说过，我们有两个账号，想测任意文件删除，我总不能去删他系统文件，那么，我就一个号登陆传文件，一个号删，分开实验成功，确实可以删除掉另一个账号传的文件，在这里报送漏洞时报的是任意文件删除，但是其实不是很确定能不能删系统文件，毕竟如果权限不够，也只是越权删除他人文件，但是又没办法测，只能这么交了，任意文件删除。

内网web应用中，有一个应用可以通过webvpn直接登陆，登陆后下载当前用户的所有个人信息。

点击下载进行抓包，发现他下载的当前个人信息是根据数据包中，账号的参数进行判定的，测试了两次发现，可以越权遍历下载别人的信息。

极其详细，涵盖方方面面，在测试的时候下载了两个用作证明漏洞存在，漏洞报送后就删了，评级高危到手。

        挖洞运气也是一部分，刚好遇到一个能突破账号的口子，进内部系统就简单很多了，预祝各位师傅天天拿通杀。喜欢的师傅可以点赞转发支持一下谢谢！