扫码领资料
获黑客教程
免费&进群
0x00写在前面的话
记得老早就看到群友在说申请edusrc,注册账号没有邀请码需要提交漏洞,通过才给申请注册,一直想也注册上去看看,正好闲来无事,于是有了这一次的记录。码的比较严,大佬们多多担待。
0x01实战环节
简单点开了几个页面,突然发现一处登陆框,依据我单身多年的经验来看,这里铁定有问题!!
检查发现,单身狗的直觉并没有错,这里账号输入正确会提示密码错误,且没有防爆破机制,突破口找到,思路一下子就清晰起来了。
信息收集
因为找到了登陆页面可以爆破,所以我们找一波学号再进行爆破即可
过程还是比较比较顺畅的,语法直接收集到了该校好几个excel表,就不一一贴出来了。
于是乎,我打开了神器burp进行爆破,正所谓心中无女人,拔刀自然神。
直接拿到账号密码,一举打进敌方内部!
伴随着耳机中传来的当年火爆全网的经典歌曲,《不想和你做朋友》—小贱,多么美妙的歌声,且发现该学生是音乐舞蹈学院的,太应景了8!
作为一名单身狗,点进个人资料看到照片,惯性右键复制图片链接打开,只为图片更大,看得更清楚。
这个链接一打开不得了,好家伙,直接发现新大陆,发现图片链接是以学号.jpg命名的。
反正就我也忘记隔了多久才开始后面的漏洞寻找,反正就挺秃然的,中间还因身体不适,去了趟厕所,嘿嘿嘿。
咳咳,回归正题,咱就想康康plmm,也不知道这算不算漏洞,按照漏洞平台的尿性,我估计直接一句无危害就完事儿了
找到一个搜索框,随手输了个’ ,就出现了如下的情况
这边是POST传参,抓了个包,直接扔sqlmap里面跑
不一会儿,便跑出来了,不过—os-shell出了点问题,还在研究中。
继续往后测试,发现有一处记事本上传功能,下载空表格模板上传
经过测试,发现写<script>alert(1)</script>会被检测过滤,也不知道检测怎么写的,不过这并不能难倒我们
如下图所见,他会过滤xss代码,只上传正常的内容,上传了正常内容之后,找到修改选项,即可将xss代码修改上去,发现一处存储型xss。
由于这个系统看起来比较老,所以立马删除了记事本的xss,主要怕他崩。
到这里,该系统的测试就告一段落了。
0x03总结
感情是渗透测试的大忌,切记!(狗头保命)
这一次测试全程还是比较顺畅的,登进去发现系统比较老,漏洞也很简单,这个系统主要就是选课用的,而且功能点其实也并不多。
越权,任意密码重置啥的也测试过,就找到个存储xss和SQL注入,遍历照片也没啥危害,估计也算不上漏洞,明显是还不够秃,还需要多拓宽思路!
学习更多黑客技能!体验靶场实战练习
(黑客视频资料及工具)
往期推荐
干货|针对单个网站的渗透思路(精)
黑客技能|爆破Android的锁屏密码
黑客技能|我靠Ajax虫术爬取了大量小姐姐照片
【外挂教程】Python 实现王者荣耀自动刷金币
博彩站渗透的常见切入点(技巧总结)
【教程】利用木马远程控制目标手机
原文始发于微信公众号(白帽子左一):实战|对某edu站点的一次渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论