Edusrc | 票据查询系统渗透-历经一个月终出货!

admin 2024年10月14日16:04:16评论16 views字数 829阅读2分45秒阅读模式

本文由掌控安全学院 -  满心欢喜 投稿

前言

本次挖掘的系统也是edu证书站 但是在刚开始挖掘时一无所有,从头开始信息收集,因为是老牌证书站,所以Web系统我直接不考虑,直接从微信公众号、小程序入手,挖掘到票据查询系统存在越权造成敏感信息泄露

8.27号

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

发现电子票据系统可以使用学号+姓名的规则查询 但是目前我也没有学号,直接Google语法收集一波 site:xxxxxx.edu.cn “学号” filetype:xls

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

也是成功搞到了一份包含学号和姓名的文件

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

成功登录后查询到了票据 任意点击一个票据并拦截数据包

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

数据包长这样 sn参数可遍历造成逻辑缺陷—-越权 通过遍历数据包中的sn参数可实现越权查看他人票据信息 票据信息中包含学号和姓名等信息

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

当时到这里就停了,因为觉得危害足够了 结果

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

好吧,当时就不了了之

10.5号

经高人指点发现票据中包含了sfz前14位信息 sfz后四位组成为 第15、16位数字表示:所在地的派出所的代码 第17位数字表示性别:奇数表示男性,偶数表示女性 第18位数字是校检码:校检码可以是0~9的数字,有时也用x表示

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

通过在线网站可以查询sfz的真实性 那么,将已有的前十四位输入并遍历后四位 三个payload 第一个payload是15、16位

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

第二个是17位

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

第三个是18位也就是最后一位

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

最后是遍历出500多条真实信息

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

将它们导出到txt文件中

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

该学校某平台

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

忘记密码

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

只需要学号 姓名 sfz即可重置密码 输入已有的学号、姓名、新密码、验证码和sfz前14位并拦截数据包

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

这里是存在验证码可爆破漏洞的所以直接遍历idcode参数也就是sfz

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

成功重置密码

Edusrc | 票据查询系统渗透-历经一个月终出货!

img

登录成功!!!同理,可以用同样的方法获取到全校学生的 sfz 信息从而重置该平台密码获取到更多的敏感信息造成全校学生的敏感信息泄露危害巨大

原文始发于微信公众号(掌控安全EDU):Edusrc | 历经一个月终出货!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月14日16:04:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Edusrc | 票据查询系统渗透-历经一个月终出货!https://cn-sec.com/archives/3266178.html

发表评论

匿名网友 填写信息