作者：掌控安全学员——至安

前言

• 一切漏洞都来源于人们对细微之处的忽视

玩eud也有段时间了，不搞本证书不是白玩了~

由于有证书的学校几乎都把后台等敏感的网站都放入了内网，而外网常见漏洞基本上都被挖干净了，所以想要获取证书必须要有别人想不到的思路才可能挖的到。

通过信息收集，最终选中学院学报来进行测试，因为只有这个网站开放注册。

为了熟悉这个系统，对这个系统测试了一天，对每个参数都有一定的了解，对接下来的测试会有很大的帮助。

在系统内我要投稿处，通过上传文件，注意ScriptID这个参数很关键

在投稿箱可以查看我们刚才投稿的文件，点击即可下载

在下载参数中有个Scriptid参数是不是很眼熟，对于不熟悉系统的很可能就会忽略掉。（因为它们并不相等） 我一般在日常测试中喜欢添加或删除来判断参数是否可控。

通过删除参数可以发现下载文件发生的变化，可以猜测这里可能有越权。

由上面两个Scriptid和ScriptID进行对比，可以猜测Scriptid中的一串字符串是被前端加密过的数字

为了证实猜想，翻找js文件中的加密文件

前端用ASE+ECB+Pkcs7密钥是Samson*@Samson*@ 来进行加密

猜想没错！接下来还要写个爬虫，对1~10000的数字进行加密替换参数来确认是否真的存在越权

替换ScriptId参数值，可以下载全校的稿件文件，越权成功！

总结

细心细心再细心

原文始发于微信公众号（小艾搞安全）：实战｜某edu证书获取过程（新思路）