提取指纹后,鹰图搜索:web.body=”img/XXXXXX.gif”
漏洞一
首先,我先测试账号密码问题,填写账号1和密码1,会显示用户名不存在,这里又没有验证码之类的效验,所以这里完全可以用字典尝试进行爆破用户名和密码看看
我测试出来admin是用户名,然后试了弱密码,还是没有登录成功
我看了下提交的接口,是2个参数
接着我继续搜索了下接口地址,往下看js代码的时候,发现还有一个接口doAutoLogin,我发现只需要提交一个um.userid参数,也就是所谓的admin值,然后抱着试试的可能
我用bp工具,把接口替换成auto那个接口,然后放行
登录成功后台,也是最高权限
漏洞二
试了下存储型xss,也是有这个问题
漏洞三
用开发者工具看了下,全部都是暴露所有管理员,账号密码
测试SQL注入,我试了”—+符号,显示权限不足,但是用了单引号,就可以显示出来数据,证明是单引号闭合的SQL注入
最后用sqlmap -r bp.txt -p param 出结果,整个结束
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):记一次网上阅卷系统漏洞挖掘
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论