证书站1越权遍历
直接启用秘籍,找到了几个学号以及身份证,这里成功登录一个
学生账号,功能点可以用的很少,在一处教师反馈处找到了一些信息
这里从返回包是可以看到老师的职工号的,记录下来后面有用
统一认证忘记密码处
测了半天也没测出来啥,直接转战小程序,直接打开第一个校园卡小程序
这里密码就为身份证后六位,成功登录
这里测了半天也是无果,都准备换站点的时候在下面功能点发现有一丝不对劲
下面是原有的数据包,返回的是这个用户的信息
看到返回包sno字段为学号,这里手动给他拼接一下,成功返回了别人的jwt还有身份证等各种信息
这里直接查询之前获取到的老师的职工号,也是返回了身份证等信息,这里就可以遍历所有的老师学生信息了
证书站2sql注入
单引号报错,报错就能注
不过单引号是过滤的,unicode编码绕过一下
注释符是不能用的,直接再加一个or进行闭合
'and 1=1 or 'a'='1因为and优先级比or高,or后面为假,所以1=1为true,1=2则为fasle
1=2返回不存在
直接注user第一位'and ascii(substr(user,1,1))=69 or 'a'='1遍历69这个数字,第一位的ascii码为69,为E
当我注表的时候发现user()这个函数也是存在的
而current_user()则不存在,如果是过滤的话会返回系统异常,这说明是没有过滤这个函数的,这就很奇怪了,不知道是哪个数据库
原文始发于微信公众号(起凡安全):EDU两个证书站的漏洞挖掘记录
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论