从任意密码重置到拿下全校师生数据后社工拿下管理员权限
开局一个登录框
某次攻防,目标为某edu高校,资产很多,全部需要登陆,无弱口令,且有验证码无法爆破
手工尝试几个弱口令,无果,右下角一个密码设置按钮,点进去重置密码
随手一个账号,报错不存在,那就是任意账户枚举了
掏出祖传字典,爆破,出了两个账号,sysadmin,2018xxx,目测一个管理员一个普通用户
任意密码重置
跳转到重置密码,没有选择直接重置管理员是怕打草惊蛇
点击获取短信,验证此账号是否存在
这里很奇葩,点击下一步的时候,不会先验证,短信验证码是否正确,而是在下一步
点击下一步后,不验证短信是否正确
在这个包,才会验证短信验证码是否正确
到此,流程已经清楚了,直接在验证短信验证码的时候,爆破验证码,猜测为4位,也确实如此,拿下账号登录
拿下教职工信息
然后拿着这个密码登录,然后发现这个学校的账号是有一个通用的校验口的,也就是说,这个账号基本通用的
一顿登录,一顿点,发现权限很低,没有上传的点
oa上传也是白名单
开始翻接口,最后在oa出翻到一个接口,本来错过了,在插件里看到的了美滋滋
全校2000+教职工敏感信息,包括但不限于 岗位,姓名,电话,账号,照片,
也包括上面的sysadmin,组别为管理员,确定此账号跟最开始猜测的一样
然后从里面找了一个管理岗,重置密码,重新登录,高权限多了一个收费管理系统
又是进去一顿点,2w条学生三要素,还有财务敏感数据
但是一个上传点都没有,sql注入也没有,感觉是被打了很多遍的,又全是waf,流量大一点就ban
社工管理员拿下密码
上面用到的都是普通账号,权限有限,而且很多系统登录不了,准备回头重置sysadmin的时候,发现
替换为前面那个可以重置账号的回显
替换后发包,发现可以进行下一步
但是到爆破验证码那一步,会发现,就算修改为成果的包,也不会真的修改,原因是,sysadmin账户没有绑定手机号
翻翻找找在一个接口处,拿到3个公众号key
到这里陷入僵局了,只能继续看其他资产,最后在小程序上,发现了东西
使用上面拿到的账号登录,这个accid可遍历,泄露全校敏感信息,包括但不限于 身份证件照片,姓名电话,在职情况,等等一系列个人敏感信息
此accid和上面的登录账号不是同一个,在添加分组处找到系统管理员,拿到accid
然后通过此accid,用上面的接口查询,发现了点不一样的东西,管理员在此处绑定了qq邮箱
有了邮箱就好办了,开🐍!
通过一系列神秘力量,连环查询,拿到个人信息
根据个人信息生成字典,拿下管理员权限,但是没过几分钟就被改密码踢下去了
到此就没继续了,确实没啥漏洞(是我菜),直接使用管理员信息钓鱼的话,说不定能深入,但此次攻防没让钓,到此结束
b站视频讲解
https://www.bilibili.com/video/BV1Vnz5YPE4C/?spm_id_from=333.999.0.0
原文始发于微信公众号(Mo60):从任意密码重置到社工拿下管理员权限
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论