前言
一切漏洞都来源于人们对细微之处的忽视
玩eud也有段时间了,不搞本证书不是白玩了~ 由于有证书的学校几乎都把后台等敏感的网站都放入了内网,而外网常见漏洞基本上都被挖干净了,所以想要获取证书必须要有别人想不到的思路才可能挖的到。
通过信息收集,最终选中学院学报来进行测试,因为只有这个网站开放注册。
为了熟悉这个系统,对这个系统测试了一天,对每个参数都有一定的了解,对接下来的测试会有很大的帮助。
在系统内我要投稿处,通过上传文件,注意ScriptID这个参数很关键
在投稿箱可以查看我们刚才投稿的文件,点击即可下载
在下载参数中有个Scriptid参数是不是很眼熟,对于不熟悉系统的很可能就会忽略掉。(因为它们并不相等) 我一般在日常测试中喜欢添加或删除来判断参数是否可控。
通过删除参数可以发现下载文件发生的变化,可以猜测这里可能有越权。由上面两个Scriptid和ScriptID进行对比,可以猜测Scriptid中的一串字符串是被前端加密过的数字
为了证实猜想,翻找js文件中的加密文件
前端用ASE+ECB+Pkcs7密钥是Samson*@Samson*@ 来进行加密
猜想没错!接下来还要写个爬虫,对1~10000的数字进行加密替换参数来确认是否真的存在越权
替换ScriptId参数值,可以下载全校的稿件文件,越权成功!
总结
细心细心再细心
原文始发于微信公众号(疯猫网络):记某edu证书获取过程
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论