实战 | EDU 某些985/211证书站 (漏洞挖掘)

声明

漏洞已上报至相关漏洞平台并已经修复，文中敏感信息均已做打码处理，请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本公众号及本人无关

前言

平时偶然挖一下edu，也有些许收获，索性抽空时间写下这篇文章，分享一下思路，希望此篇文章能给各位师傅一些技术提升的帮助，文中若有疏漏或不当之处，恳请各位师傅不吝斧正。

正题

某交通大学--未授权

通过网络空间测绘domain:"*.edu.cn"进行子域名信息收集，偶然发现某个系统。

开局一个登录框。

先是js代码审计一遍，搜索username，发现GET传参代码； 在我遇到的未授权中GET请求是比较多的，所以这个GET请求引起了我的注意，并且参数是/**/get*

一般很多开发都喜欢用英文名来作一个路径或代码参数，get的意思是获取

里面的代码，get+username，个人猜是获取用户什么的某个功能。

然后根据代码构造请求payload

/**/get**?username=用户名

发现回显错误，那么可能是缺少了某个路径，一般情况下功能接口前面都会有一级路径。

从登录框的功能点数据包，找到其一级路径为 /***

再将其拼到payload里面，

成功未授权获取到管理员密码值。

夏某大学

在一次路过，偶然发现某个系统，也是开局一个登录框

功能点只有输入框、登录功能，看起来功能点真的是少之又少，尝试弱口令、万能密码，sql注入等等大概率也不行，反正很少遇到这几个，像这种情况，个人一般会去找该系统的其他路径，看看有没有其他功能点。

可能在找相关路径，普遍会用dirsearch来扫描路径，路径能不能找到就看字典大不大，很多站点，一般会有一级路径、二级路径，加上自定义的参数名，字典不大的话可能很少碰撞到

为了方便更有效率，可以利用熊猫头，或者packerfuzz、jjjjjjjjs、JsFind等工具来查找js的信息，找到相关路径。

但是我比较懒，喜欢更直接的方式，那就是谷歌语法

site:**.**.edu.cn

然后接着点，找到一个关于找回的功能点。

然后在该功能点，输入学号，发现数据包返回了sfz号码敏感信息。

正如上面的登录框提示：用户名为sfz号码，所以在找回的时候，也可以学号或用户名查找，但是输入学号，会找到其用户名。至此造成信息泄露。

site:**.edu.cn 学号

然后成功找到其更多的相关学号，提高漏洞影响。

难点在于，开局只有一个登录框，但是只有一个功能点，剩下功能点要靠自己找。