宇宙免责声明!!!
本推文提供的信息、技术和方法仅用于教育目的。文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题,并采取适当的防护措施来保护自身系统免受攻击。
严禁将本文中的任何信息用于非法目的或对任何未经许可的系统进行测试。未经授权尝试访问计算机系统或数据是违法行为,可能会导致法律后果。
作者不对因阅读本文后采取的任何行动所造成的任何形式的损害负责,包括但不限于直接、间接、特殊、附带或后果性的损害。用户应自行承担使用这些信息的风险。
我们鼓励所有读者遵守法律法规,负责任地使用技术知识,共同维护网络空间的安全与和谐。
本文由Zer0 Sec的Juneha师傅供稿
0x1信息泄露
-
在url后面随便输入字符,页面报错得到框架为ThinkPHP3
![Zer0 Sec团队Juneha:某次edusrc挖掘案例]( "Zer0 Sec团队Juneha:某次edusrc挖掘案例")
-
然后我们尝试访问默认日志路径
Application/Runtime/Logs/控制器/年份_月份_日期.log-
访问成功,不过每隔几分钟日志就会被自动删除
0x2由日志泄露导致的任意用户注册
-
我们通过GitHub搜索 该校域名+邮箱关键字,成功找到一个可以登入的邮箱
-
然后登入
![Zer0 Sec团队Juneha:某次edusrc挖掘案例]( "Zer0 Sec团队Juneha:某次edusrc挖掘案例")
-
利用得到的邮箱进行注册,查看激活邮件URL构造
http://xxxxxxxxx.edu.cn/index.php/activation?accessToken=f6d785fb9470d5fd604fb8897778f740
-
accessToken我们可以通过日志去查看,然后即可构造激活链接实现任意用户注册
-
查看日志得到accessToken
-
构造激活链接,访问成功激活
![Zer0 Sec团队Juneha:某次edusrc挖掘案例]( "Zer0 Sec团队Juneha:某次edusrc挖掘案例")
0x3sql注入
-
问题出现在验证手机号处
![Zer0 Sec团队Juneha:某次edusrc挖掘案例]( "Zer0 Sec团队Juneha:某次edusrc挖掘案例")
-
此处后端调用的阿里云发送短信,当发送次数过多后会触发号码天级流控,后端记录日志处xff未过滤导致的注入
-
天级流控说明https://developer.aliyun.com/ask/137083
0x04由日志泄露导致任意手机号绑定
-
随便填写手机号
-
通过日志查看到正确的验证码
0x05平行越权
-
新增作文
![Zer0 Sec团队Juneha:某次edusrc挖掘案例]( "Zer0 Sec团队Juneha:某次edusrc挖掘案例")
-
然后编辑
![Zer0 Sec团队Juneha:某次edusrc挖掘案例]( "Zer0 Sec团队Juneha:某次edusrc挖掘案例")
-
修改url中的id即可越权操作编辑查看保存等操作
0x06 sql*2
-
删除作文处的数据包内的id参数未过滤存在注入
0x07存储xss
-
个人资料处的ueditor编辑器上xml
alert
外部交流群(欢迎进群互相交流),由于群人数超过了200,只能邀请拉群,可以关注公众号,后台回复“加群”,获取助手绿泡泡,联系小助手邀请进群
原文始发于微信公众号(Zer0 sec):Zer0 Sec团队Juneha:某次edusrc挖掘案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论