渗透实战 - 巧用druid漏洞进入EDU系统后台

2025年3月24日19:11:24评论12 views字数 510阅读1分42秒阅读模式

本文章由团队成员[Tai]授权并发布

前情提要

这是一个edu的统一身份认证系统，主页如下

通过目录扫描发现存在durid未授权访问漏洞，并且还有大量的sessionid泄漏

找到获取数据的接口，把这些sessionid提取出来，因为响应数据是json格式，我就直接用yakit的数据提取器提取，非常方便

然后提取出那么多的数据，直接点copy复制出来即可

现在还需要找一个后台的接口来验证下sessionid是否可用，直接在URL监控下可用翻到一些后台接口，如/sys/config/getConfig

构造请求包，使用yakit的{{array:auto(xxx)}}标签遍历sessionid

发现没有遍历出来，观察响应包，发现服务器返回的session值是经过base64编码的

这里构造的话，只需要在外面套一层yakit的{{base64e()}}标签进行base64编码就好了，成功遍历出来3个可用的session

随便选中一个尝试登录，用yakit的插件把数据添加到请求头中进行请求

刷新页面，成功进入后台，验证泄露的session利用成功

原文始发于微信公众号（C4安全团队）：渗透实战 - 巧用druid漏洞进入EDU系统后台

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

常见弱口令漏洞的发现与防护（文内送常见字典）