记一次拿下全校信息的漏洞+垂直越权

admin 2025年5月26日09:19:17评论28 views字数 796阅读2分39秒阅读模式

 

信息泄露漏洞:

从一处访客预约小程序入手,在预约功能处,关注到以下信息。

记一次拿下全校信息的漏洞+垂直越权

可以看到这里被访人姓名显示的是自动获取,则这里就有一个通过手机号获取被访人姓名的接口,但在前端只显示了姓名,其实是把所有信息都查到了。(开发偷懒,返回全部内容,只显示名字在页面,但是抓包可以看到全部信息!)

但我们现在并没有这个学校老师的手机号,无法查出数据,也就没法验证。

于是通过浏览器或者谷歌语法去寻找手机号。

记一次拿下全校信息的漏洞+垂直越权

最终翻到了很多老师的联系方式,获取了手机号,就可以填入获取老师信息。

记一次拿下全校信息的漏洞+垂直越权

抓包,随便输一个看看,可以看到包里返回了身份证号以及人脸信息的地址。

记一次拿下全校信息的漏洞+垂直越权

yakit提之前网页中搜集到的全部手机号,到bp接口爆破,得到了许多老师的身份证和人脸信息。

记一次拿下全校信息的漏洞+垂直越权
记一次拿下全校信息的漏洞+垂直越权

同时,在该校的学工系统发现了默认密码规则为身份证后六位。

记一次拿下全校信息的漏洞+垂直越权

于是用尝试刚获得老师身份证,提取后六位,放到bp里选pitchfork进行爆破,爆破出了一些账号。有高权限账号也有低权限账号,先用高权限账号登录,关注到了一个全校学生的功能点。

记一次拿下全校信息的漏洞+垂直越权
记一次拿下全校信息的漏洞+垂直越权

此高权限账号是可以直接访问的,能查询任意学院任意学生的所有信息,包括身份证号,手机号,人脸信息,家庭住址,还有其家长的电话号码等敏感信息,约七千多位学生。

记一次拿下全校信息的漏洞+垂直越权
记一次拿下全校信息的漏洞+垂直越权

垂直越权漏洞:

    开始研究该高权限账号在此功能处的数据包,方法是将请求包中所有疑似鉴权字段的字段值一一更改,最终发现当更改了groupId时,请求不出数据了,显示暂无权限,可以确定groupId即为真正的鉴权字段。

记一次拿下全校信息的漏洞+垂直越权
记一次拿下全校信息的漏洞+垂直越权

切换我们的低权限账号访问全校学生功能点

记一次拿下全校信息的漏洞+垂直越权

无任何回显,查看数据包显示暂无权限

于是一直开着bp拦截不松,将一个请求包后面都加一个&groupId=1003

改一个放一个最终达到了和高权限账号同样的,查看全校学生信息的效果

记一次拿下全校信息的漏洞+垂直越权

有数据正常回显了,最终造成了垂直越权,通过添加一个参数造成垂直越权漏洞。

记一次拿下全校信息的漏洞+垂直越权

以上漏洞均已提交。

原文始发于微信公众号(猎洞时刻):记一次拿下全校信息的漏洞+垂直越权

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日09:19:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次拿下全校信息的漏洞+垂直越权https://cn-sec.com/archives/4097339.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息