通过前期的信息打点成功拿到了该校某学生的账号密码
接下来登录统一认证开始大干一场吧!
这里先选择测试该校的学工系统(根据经验学工系统敏感信息是最多的一旦出洞就是高危起步)
因为好多功能学生都不能访问,找到一个学生权限可以访问的功能点
点进去一片空白,心凉了一半,只能测一测修改密码ing.....好吧没任意密码修改,系统很安全,下号睡觉,文章结束。
怎么可能啊兄弟,包有洞的
选择右上角个人设置
看了一下,右侧功能点前几项都是跳到对应信息的行数,只有学籍卡,修改记录是新的功能点,点击右侧学籍卡并进行抓包
可以看到userid字段我就知道没白来啊
这里修改为34360做测试
还会有第二个下载数据包同样进行修改(username是下载文件名 可以不改)
oh越权成功,把其他用户的学籍卡下载下来了 高危+1
你以为到这里就完事了吗?还有的兄弟
上面提到的修改记录也得测一测
改完id后,不出所料也可以越权
让我们继续看看还有哪些地方可能存在越权
这里看到家庭成员、教育经历可以增删改
第一眼就看中了修改功能点,试试能不能遍历出其他用户的家庭成员信息
不出意外高危+2 成功吧其他用户家庭成员信息越权遍历出来了
继续让我们看看删除功能点(这里建议一般不要测试不可恢复的避免导致不可逆损失)
这里不出意外任意删除中危+1
再跑回去看看添加按钮
修改用户账号(学号)即可将信息添加到对应账号内
最后准备跑路的时候突然看到日历上添加功能,来都来了,点进去看看吧
让我们看看能不能x个弹窗进去(这种日程创建都会将用户创建的内容到数据库如果前端过滤不严就可能导致存储xss)
哦豁,前端校验,看这样子有戏啊,抓个包绕一下
再赚1rank,存储xss拿下
原文始发于微信公众号(猎洞时刻):Edu实战记录 | 四个漏洞打包提交
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论