edusrc漏洞笔记(逻辑篇2.0)
2022-9-8 11:59:48 Author: www.secpulse.com(查看原文) 阅读量:48 收藏

点击上方蓝色字体关注我

///////前言

本文所有漏洞均已提交edusrc,我挖洞比较佛系,漏洞也比较基础,主要是为了记录一下最近挖的漏洞过程和思路,这篇文章没有什么技术含量,各位师傅轻喷~

(全文纯手打,如果发现有错误的师傅请及时联系本人~)

本人vx:moli2020666888,公众号:Poker安全

由于文章是实战结束后才想起来写的,部分漏洞被修复,可能文章内容有些欠缺,各位读者请见谅

首先是某高校个人中心的一个界面,这里有个sfz补办申请

抓包看看

可以看到这里property value的参数是当前学号,与上一篇提到的水平越权差不多,response可以看到一些个人的敏感信息,我们修改参数看看能不能造成水平越权,

成功越权查看他人敏感信息

不过这里的property value是属性值的意思,现有的信息了解到当前学号是student的身份,所以我们可以尝试把这里的参数修改为teacher或者是admin看看有没有什么收获

修改为admin看看,发包

成功造成垂直越权,返回了当前admin身份的一些敏感信息和email

同样此处原理也大致相同

某信息采集模块点击申请,抓包

数据包往下滑,最底下有个personId=xxx&type=xxx的参数

personId对应当前身份的学号,type也就是当前身份的缩写,我们先尝试修改personId发包看看

成功造成水平越权,与上一个漏洞同理,这里所写的stu代表的是学生身份,尝试修改为teacher看看是否有收获

成功造成垂直越权,不过此处并没有显示敏感信息

数据包下面:personId=admin&type=tea ,如果这里改成老师的工号,或许会有附带信息,但是我懒得找,点了根烟就继续下一个站点了

这里是有一个资助申请表的下载模块,下载会生成下载链接

复制下载链接,可下载别人的申请,id为连续,可以直接进行遍历,这个比较简单就懒得抓包了

复制前缀url修改familyinfoKey参数即可直接越权下载他人的申请表,附带一系列敏感信息

图片比较敏感这里就不给大家展示了

再看这里(此处是1.0逻辑篇中提到的验证码复用进入后台)

修改密码抓包

这里会直接出来password,不过是以md5加密的方式显示出来,尝试过可以解密出内容

再点击实名抓包,对应的idCar也就是sfz号,返回出来一些敏感信息,userid的md5密文也可以解密出来对应当前工号,可以尝试批量造字典加密进行遍历扩大危害,当然了,开头就说过我比较佛系,挖洞既然到了这里证明漏洞存在即可,其他的交给审核就够了,

出现这种问题大多数都是开发的时候代码不规范,主要原因是因为没有对用户的身份做判断和控制导致的越权造成敏感信息泄露。

此处是edusrc证书站的一个模块,

抓包

首次抓包的时候这里的password是老密码,需要放一次包

放包之后这里的password就是新密码了,此处打码处理,请各位读者见谅

放包之后修改新密码此处的userid发包,造成任意密码重置,原因是系统开发时更新密码时未进行鉴权,可通过修改请求中id,name,data这种类似的参数越权修改其他用户密码

本文主要是写逻辑漏洞的一些例子,别的漏洞先不写在文章里了,也是成功通过这个漏洞和一些组合拳拿到了一个中危,不过也足够换证书了

后续会写一些其他类型的文章,记录自己平时挖掘的一些漏洞和有意思的一些见解,也希望和各位师傅们一起交流学习~

本文作者:

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/186945.html


文章来源: https://www.secpulse.com/archives/186945.html
如有侵权请联系:admin#unsafe.sh