本文由掌控安全学院 - 满心欢喜 投稿
前言
本次挖掘的系统也是edu证书站 但是在刚开始挖掘时一无所有,从头开始信息收集,因为是老牌证书站,所以Web系统我直接不考虑,直接从微信公众号、小程序入手,挖掘到票据查询系统存在越权造成敏感信息泄露
8.27号
img
img
发现电子票据系统可以使用学号+姓名的规则查询 但是目前我也没有学号,直接Google语法收集一波 site:xxxxxx.edu.cn “学号” filetype:xls
img
也是成功搞到了一份包含学号和姓名的文件
img
成功登录后查询到了票据 任意点击一个票据并拦截数据包
img
数据包长这样 sn参数可遍历造成逻辑缺陷—-越权 通过遍历数据包中的sn参数可实现越权查看他人票据信息 票据信息中包含学号和姓名等信息
img
img
当时到这里就停了,因为觉得危害足够了 结果
img
好吧,当时就不了了之
10.5号
经高人指点发现票据中包含了sfz前14位信息 sfz后四位组成为 第15、16位数字表示:所在地的派出所的代码 第17位数字表示性别:奇数表示男性,偶数表示女性 第18位数字是校检码:校检码可以是0~9的数字,有时也用x表示
img
通过在线网站可以查询sfz的真实性 那么,将已有的前十四位输入并遍历后四位 三个payload 第一个payload是15、16位
img
第二个是17位
img
第三个是18位也就是最后一位
img
最后是遍历出500多条真实信息
img
img
将它们导出到txt文件中
img
该学校某平台
img
忘记密码处
img
只需要学号 姓名 sfz即可重置密码 输入已有的学号、姓名、新密码、验证码和sfz前14位并拦截数据包
img
这里是存在验证码可爆破漏洞的所以直接遍历idcode参数也就是sfz
img
img
成功重置密码
img
登录成功!!!同理,可以用同样的方法获取到全校学生的 sfz 信息从而重置该平台密码获取到更多的敏感信息造成全校学生的敏感信息泄露危害巨大
原文始发于微信公众号(掌控安全EDU):Edusrc | 历经一个月终出货!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论