从任意密码重置到社工拿下管理员权限

admin 2024年12月2日12:00:51评论10 views字数 1222阅读4分4秒阅读模式

从任意密码重置到拿下全校师生数据后社工拿下管理员权限

开局一个登录框

某次攻防,目标为某edu高校,资产很多,全部需要登陆,无弱口令,且有验证码无法爆破

从任意密码重置到社工拿下管理员权限

手工尝试几个弱口令,无果,右下角一个密码设置按钮,点进去重置密码

从任意密码重置到社工拿下管理员权限

随手一个账号,报错不存在,那就是任意账户枚举了

从任意密码重置到社工拿下管理员权限

掏出祖传字典,爆破,出了两个账号,sysadmin,2018xxx,目测一个管理员一个普通用户

任意密码重置

跳转到重置密码,没有选择直接重置管理员是怕打草惊蛇

从任意密码重置到社工拿下管理员权限

点击获取短信,验证此账号是否存在

从任意密码重置到社工拿下管理员权限

这里很奇葩,点击下一步的时候,不会先验证,短信验证码是否正确,而是在下一步

从任意密码重置到社工拿下管理员权限

点击下一步后,不验证短信是否正确

从任意密码重置到社工拿下管理员权限

在这个包,才会验证短信验证码是否正确

从任意密码重置到社工拿下管理员权限

从任意密码重置到社工拿下管理员权限

到此,流程已经清楚了,直接在验证短信验证码的时候,爆破验证码,猜测为4位,也确实如此,拿下账号登录

从任意密码重置到社工拿下管理员权限

拿下教职工信息

然后拿着这个密码登录,然后发现这个学校的账号是有一个通用的校验口的,也就是说,这个账号基本通用的

从任意密码重置到社工拿下管理员权限

一顿登录,一顿点,发现权限很低,没有上传的点

从任意密码重置到社工拿下管理员权限

oa上传也是白名单

从任意密码重置到社工拿下管理员权限

开始翻接口,最后在oa出翻到一个接口,本来错过了,在插件里看到的了美滋滋

全校2000+教职工敏感信息,包括但不限于 岗位,姓名,电话,账号,照片,

也包括上面的sysadmin,组别为管理员,确定此账号跟最开始猜测的一样

从任意密码重置到社工拿下管理员权限

然后从里面找了一个管理岗,重置密码,重新登录,高权限多了一个收费管理系统

从任意密码重置到社工拿下管理员权限

又是进去一顿点,2w条学生三要素,还有财务敏感数据

从任意密码重置到社工拿下管理员权限

但是一个上传点都没有,sql注入也没有,感觉是被打了很多遍的,又全是waf,流量大一点就ban

社工管理员拿下密码

上面用到的都是普通账号,权限有限,而且很多系统登录不了,准备回头重置sysadmin的时候,发现

从任意密码重置到社工拿下管理员权限

替换为前面那个可以重置账号的回显

从任意密码重置到社工拿下管理员权限

替换后发包,发现可以进行下一步

从任意密码重置到社工拿下管理员权限

但是到爆破验证码那一步,会发现,就算修改为成果的包,也不会真的修改,原因是,sysadmin账户没有绑定手机号

从任意密码重置到社工拿下管理员权限

翻翻找找在一个接口处,拿到3个公众号key

从任意密码重置到社工拿下管理员权限

到这里陷入僵局了,只能继续看其他资产,最后在小程序上,发现了东西

使用上面拿到的账号登录,这个accid可遍历,泄露全校敏感信息,包括但不限于 身份证件照片,姓名电话,在职情况,等等一系列个人敏感信息

从任意密码重置到社工拿下管理员权限

此accid和上面的登录账号不是同一个,在添加分组处找到系统管理员,拿到accid

从任意密码重置到社工拿下管理员权限

然后通过此accid,用上面的接口查询,发现了点不一样的东西,管理员在此处绑定了qq邮箱

从任意密码重置到社工拿下管理员权限

有了邮箱就好办了,开🐍!

通过一系列神秘力量,连环查询,拿到个人信息

从任意密码重置到社工拿下管理员权限

根据个人信息生成字典,拿下管理员权限,但是没过几分钟就被改密码踢下去了

到此就没继续了,确实没啥漏洞(是我菜),直接使用管理员信息钓鱼的话,说不定能深入,但此次攻防没让钓,到此结束

b站视频讲解

https://www.bilibili.com/video/BV1Vnz5YPE4C/?spm_id_from=333.999.0.0

原文始发于微信公众号(Mo60):从任意密码重置到社工拿下管理员权限

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月2日12:00:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从任意密码重置到社工拿下管理员权限https://cn-sec.com/archives/3454405.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息