记一次对学校某系统的黑盒测试到教育SRC
2022-8-18 08:33:21 Author: 李白你好(查看原文) 阅读量:34 收藏

免责声明
由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

文章来源:奇安信攻防社区

原文地址:https://forum.butian.net/share/837

0x01 信息收集

Nmap和旁站收集无果,只开放了这一个端口,并且此站点是某公司进行独立开发,没有套用CMS,所以网上没有可以进行利用的Poc,已知系统为Linux。

0x02 格局打开

这里使用JSFinder工具对JS中的敏感路径进行扫描,JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。

这里查看到了一个敏感的路径,访问后发现有鉴权,不登陆的情况下无法使用。
然后使用学号+弱密码123456进行登录,登陆后在数据提交部分发现文件上传部分,这里先上传一个正常的JPG,看看上传到了什么地方,没想到发现了一枚静态目录遍历,包含了大量学生及老师提交的数据,低危有了!


挖到低危肯定不满足,于是尝试一下其他功能,还记得在咱们没有登陆的时候,应用中心是有很多按钮的,但是当我们登录后,发现只有一部分选项可以点击,其他按钮都消失不见了,推断是做了权限校验


在前端寻找校验身份的地方,这个ROLE应该是代表身份。


这里刷新,发现可疑参数,当ROLE=1的时候,只会返回一部分数据过来,而当ROLE=4的时候,会返回很多东西过来。


此处把ROLE改成4,发现一处管理中心,点进去,发现管理员账号是admin,同时用户隐私泄露。

0x03 柳暗花明

到此,已经拿到了一个低危和一个高危,可是依旧无法获得shell,也无法获得管理员权限,于是回到起点,此时已经知道管理员账号为Admin,找到忘记密码处。
这里先输入自己的邮箱,发现点击获取验证码后,会返回我们的学号,然后最上面一个是200,修改自己的密码时,做了加密处理,无法直接从Burp里输入Admin进行修改。这里我放上我绕过的办法:把返回的学号直接改成admin,然后当前端向后端进行密码修改请求的时候,会自动把这串数据进行加密,从而绕过。
成功越权修改管理员密码,然后来到后台页面,可以导出数据,同时对平台所有内容进行增删改查。

0x04 后记

通过fofa语法,搜索title="XX数据XX平台",找到了几十个站点,直接打包一波进行提交,这波高危拿捏了。


每一环都是环环相扣的,如果没有发现未登录和登陆后的功能不一样,也许就没有这一次通杀,提交后,厂商已对上述所有漏洞进行修复!

微信小程序渗透测试技巧

2022-08-16

网络安全情报攻防WiKi

2022-08-16

前端VUE渗透测试的一些技巧和思路

2022-08-13



文章来源: http://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247493088&idx=1&sn=d6e5401c1a584af7e9eb6fd50ddbf90d&chksm=c09a96b0f7ed1fa6e78daa6478f9a99908fad16054a82e90b5fa2ef4ec5d095eb75f96c7051d#rd
如有侵权请联系:admin#unsafe.sh