较为丝滑的一次证书站漏洞打包

2024年11月28日15:28:38评论12 views字数 1528阅读5分5秒阅读模式

扫码领资料

获网安教程

较为丝滑的一次证书站漏洞打包

较为丝滑的一次证书站漏洞打包

本文由掌控安全学院 - 1708qq_com 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

又一个风和日丽的下午（doge），找到一个感觉有洞的登录框，因为可以注册一个用户

较为丝滑的一次证书站漏洞打包

二话不说，直接注册一手

利用注册的用户，成功登录

较为丝滑的一次证书站漏洞打包

访问登录界面

较为丝滑的一次证书站漏洞打包

测试了一些基本的修改信息，尝试越权查看信息都没有，于是退而求其次，看看登录框处有什么可以测试的

验证码可爆破，重置任意用户密码

点击忘记密码

较为丝滑的一次证书站漏洞打包

输入对应的账号名

较为丝滑的一次证书站漏洞打包

六位数，15分钟有效

较为丝滑的一次证书站漏洞打包

可以尝试爆破，如不会被waf拦住的话

较为丝滑的一次证书站漏洞打包

img

可以爆破成功，通过爆破六位验证码，可以重置验证码通过注册的功能点，可以知道哪些用户是已经注册的了

较为丝滑的一次证书站漏洞打包

img

这样可以根据用户名，重置任意密码但是因为是六位，即使提交了，可能也就是低位，所以还不行。

逻辑漏洞+弱口令

要先分析出逻辑漏洞，就得认真看数据包

较为丝滑的一次证书站漏洞打包

img

点击登录，bp抓包拦截数据包

较为丝滑的一次证书站漏洞打包

有几个参数需要注意 loginName，realname，userRoleCode是否可以通过修改这些参数，调用一些接口返回一些敏感信息呢？大胆猜测，小心尝试

较为丝滑的一次证书站漏洞打包

然后一直放包可以看到只有这个地方是改变的，其他地方没有改变点击“我的评论”

较为丝滑的一次证书站漏洞打包

可以看到一些评论，相比之前之前注册的账号是没有的，说明评论这处的接口调用是根据这里来的

较为丝滑的一次证书站漏洞打包

抓取数据包，可以看到评论者的一些信息（家庭住址，登录ip等）

较为丝滑的一次证书站漏洞打包

继续往下看的时候，发现泄露类似这个学校的教师工号通过历史数据包中找到，这个用户名的查询接口，发现返回的信息确实是这个学校的

较为丝滑的一次证书站漏洞打包

得到工号有什么利用的地方呢？如果只是泄露了这些信息也算不了有多敏感，当然不能到这里就停手了。以退为进，还是退到登录框那里，因为一般系统给老师的账号都是一些比较容易记忆的密码，如：

工号/工号   工号/123456

一般这两种的可能性最大

较为丝滑的一次证书站漏洞打包

正如上面所说，登录成功！

较为丝滑的一次证书站漏洞打包

img

较为丝滑的一次证书站漏洞打包

继续延续上面的猜想，可以横向扩大一些危害，遍历教师工号，看看能不能找到一些高权限一点的教师账户

较为丝滑的一次证书站漏洞打包

泄露其他用户的手机号信息

较为丝滑的一次证书站漏洞打包

成功弱口令登录多个教师账号

较为丝滑的一次证书站漏洞打包

在多次登录的过程中，找到了一个算是比较高权限一点的账户，可以管理这个网站的大部分课程内容

较为丝滑的一次证书站漏洞打包

所管理的课程都可以编辑，增删改查权限都有

较为丝滑的一次证书站漏洞打包

img

云盘未授权

在个人中心中，发现了一个云盘

较为丝滑的一次证书站漏洞打包

发现大量的信息泄露

较为丝滑的一次证书站漏洞打包

img

切换到一个新的浏览器 http://api.xxx.xxx.edu.cn/api/yunfileController/indexNew?pan= xxxxx

发现也能打开！存在未授权访问云盘，pan参数后面的参数也是可以猜测的是base64拼接_yunpan_session+url编码的比如这样 http://api.xxxx.xxx.edu.cn/api/yunfileController/indexNew?pan=MTIzNDU2X3l1bnBhbl9zZXNzaW9u

MTIzNDU2X3l1bnBhbl9zZXNzaW9u

url解码

较为丝滑的一次证书站漏洞打包

base64解码

较为丝滑的一次证书站漏洞打包

所以我们通过这个接口，只要知道工号就可以接管对应教师的云盘账户了（不会鉴权）

总结：

看系统的时候，有时候一个工号都会是一个极大的突破点，这个站点我也看很久了，之前一直都没有注意到这个工号，所以细节决定成败，不过所谓细节也得是自己能力能注意到，才能利用得上。

最后，也是一个中危，目的达成。

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

较为丝滑的一次证书站漏洞打包

原文始发于微信公众号（掌控安全EDU）：较为丝滑的一次证书站漏洞打包

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

登录框

我如何利用侦察和IDOR攻击来获取数百张信用卡信息

若依4.8.0RCE分析

【内网安全】C2木马免杀与通信隐匿

dnsimg——将图像存储在 txt 记录中

Vulnlab 实战：利用 NTLM 反射攻击实现权限提升

AI辅助渗透测试之如何对甲方说明API安全问题（利用HAR记录文件）

Cloudflare 403 绕过基于时间的盲 SQLi

跨域推荐：基于用户兴趣对齐的跨域推荐

涉及 HTTP 重定向循环的新型 SSRF 技术

网络安全行业术语，您了解多少

本文由 admin 发表于 2024年11月28日15:28:38
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
较为丝滑的一次证书站漏洞打包http://cn-sec.com/archives/3444813.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

目录

在线咨询

13688888888

8888 QQ在线咨询

微信
本页二维码