0x00前言
起因是3月份下班坐地铁无聊在wx公众号中刷着文章,然后就刷到了一份edusrc的漏洞文章(刚好是新发的还热乎),然后一看好家伙竟然还没打码(网安直觉一眼发现嘿嘿)直接地址就在上面,然后话不多说,回到家直接打开电脑开始复现就当学习了。然后就是因为这个漏洞复现威胁情报,拿下这个站的多处越权,全站用户的密码重置,弱口令,无数的sql注入点。ok继续往下看,下面是我的在威胁情报下继续挖掘的漏洞。 
0x01威胁情报
XXX存在威胁情报,公众号里面有漏洞复现过程且漏洞站没有打码,跟漏洞过程可以成功复现----低危,威胁情报edusrc也收交一下。
0x02弱口令
1.由威胁情报里面提供了一个弱口令而导致的用户弱口令,基本上是全站用户的弱口令(我就不提供威胁情报里面的弱口令了)登入进去,点击添加教师可以发现用户密码规则,编号就是密码----高危
2.然后根据规则和里面泄露的账号直接一堆弱口令(我写了给python脚本跑基本上全站都是弱口令)
0x03多处越权
由威胁情报而导致的多处越权(这里我就准备了一个高权限账号超级管理员权限,一个低权限账号学生权限,问我高权限账号和密码哪里来的,高权限是自己fuzz出来的,低权限是上面的弱口令出来的),然后我自己把超级管理员权限和学生权限的路径全部用python爬虫爬取出来对比,然后测试发现存在多处越权包括垂直和平行越权,一堆越权,因为edusrc同站只收三个,我就写几个危害较大的----高危
1.平行越权查看全校用户的的学位信息里面有大量敏感信息(sfz,学号,户籍地址,考生号等等。)
2.这里看到两个pid,先试了一下不可越权,然后fuzz去掉一个成功越权
3.然后遍历pid可查看全校的学位信息,数万条敏感信息
4.垂直越权查看学籍信息,登入后直接在后面拼接超级管理员接口
/xaws/xaws/xaws!
admin.action?stuId=31然后遍历stuId,可查看全校的学籍信息,数万条敏感信息
5.垂直越权查看人员信息,登入后直接在后面拼接管理员接口
/xaws/xaws/sqg!
xaws.action?stuId=31然后遍历stuId,可查看全校的人员信息,数万条敏感信息
我就不bp遍历了
6.垂直越权查看学历信息,登入后直接在后面拼接管理员接口
/xaws/xaws/sqg!
stuacademicInfo.action?stuId=33然后遍历stuId,可查看全校的学历信息,数万条敏感信息
我就不bp遍历了
0x04全站用户任意密码重置
xaws/xaws/xaws! enterResetPassword.action?personId=1526&pertype=一看就是密码重置----高危
1.随便找到一个账号登入后拼接
xaws/xaws/xaws!
enterResetPassword.action?personId=
1526&pertype=然后只要修改personId的后面的数字就可以重置对应的用户密码,这里我就修改test用户personId是1715,直接填写后提交就好,修改为1234567xaws
2.登入系统
0x05多处sql注入
由威胁情报而导致的多处sql注入,因为威胁情报里面已经有sql注入的poc,然后就只要找出其他的sql注入点就好了,这里因为威胁情报里面的是管理权限的账号,而我们是超级管理员权限肯定比其功能多。----中危
Tips:这里也是绕硬件waf的常用手法可以学学:硬件WAF会发生脏字符绕过,数据包过大消耗内存,为了避免影响服务而放行
Poc:
1.超级管理员权限登入后台测试,主打一个细致,后台每个接口,每个参数都要关注,推荐使用xia sql插件提高效率。果不其然,不到十分钟后台找到多个不同接口不同参数sql,然后比对管理员权限接口把没有的提交,部分演示:
0x06总结
这次的挖洞经历是在威胁情报的基础上,没有太多的信息收集和技术,总结还是得提高信息敏感度,多多看看漏洞挖掘手法,学习其中的技巧然后举一反三,灵活应用,还有就是要有耐心和细致,多验证多尝试。
最后:挖src总会有失望和迷茫的时候,但只要细致耐心终会有所收获,最后分享一句时常激励我的话,与诸君共勉:清风自度,得失随缘!
祝大家洞挖不完!!!
结束语
内部edu+src培训,包括src挖掘,edu挖掘,小程序逆向,js逆向,app渗透,导师是挖洞过30w的奥特曼,edu上千分的带头大哥!!!联系深情哥即可。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论