某证书站的艰难挖掘历程

admin 2024年10月13日01:10:26评论8 views字数 711阅读2分22秒阅读模式

扫码领资料

获网安教程

某证书站的艰难挖掘历程

某证书站的艰难挖掘历程

本文由掌控安全学院 -  洛川 投稿

Track安全社区投稿~  

千元稿费!还有保底奖励~(https://bbs.zkaq.cn)

一、信息收集

近期edu又上新一个证书,来到证书站的统一门户

某证书站的艰难挖掘历程

经过初步测试,该站点账号登录需要在校园网环境下才能进行登录,但是还可以app扫码登录,下载app发现app账号登录也需要在校园网环境登录,但是百密一疏,对于新生只要知道考生号和身份证号即可在公网登录

于是,直接来到抖音搜索xxxx大学录取通知书,总有人既没有安全意识有喜欢炫耀,这不直接就搜索到了

某证书站的艰难挖掘历程

二、测试功能点

直接默认账号密码登录app

某证书站的艰难挖掘历程

然后扫码登录webvpn系统

某证书站的艰难挖掘历程

可惜只有少数系统开放,直接开测

来到智慧校园门户

某证书站的艰难挖掘历程

打开bp抓包并点击信息维护

发现传参都是通过cookie,但是有一个数据包例外

某证书站的艰难挖掘历程

这个数据包是通过考生号来传输用户照片,巧的是这个考生号是能够遍历的,因为他是有规律的

直接构造遍历
某证书站的艰难挖掘历程

成功遍历到大量用户的照片

某证书站的艰难挖掘历程

然后通过查找js发现一个连接管理系统,没有验证直接进入系统

某证书站的艰难挖掘历程

直接构造xss,发现成功弹窗,并且类型为存储型

某证书站的艰难挖掘历程

接着来到学工系统,发现系统是js写的,js写的那就很容易存在前端越权绕过

某证书站的艰难挖掘历程

查找源代码发现登录逻辑,ResultCode=0时即可直接登录后台

某证书站的艰难挖掘历程

抓包点击登录并修改返回包

某证书站的艰难挖掘历程

某证书站的艰难挖掘历程

成功登录后台

某证书站的艰难挖掘历程

然后抓包并点击个人中心,在返回包的value里加上xss语句

某证书站的艰难挖掘历程

成功弹出管理员cookie

某证书站的艰难挖掘历程

最后还在前端代码中找到了aes加密的key和iv值

某证书站的艰难挖掘历程

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

某证书站的艰难挖掘历程

原文始发于微信公众号(掌控安全EDU):某证书站的艰难挖掘历程

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月13日01:10:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某证书站的艰难挖掘历程https://cn-sec.com/archives/3253742.html

发表评论

匿名网友 填写信息