由证书站漏洞挖掘引起的一次EDU通杀(涉及上百所学校)!
2023-3-5 23:44:48 Author: 渗透安全团队(查看原文) 阅读量:56 收藏

现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队设为星标”,否则可能就看不到了啦

免责声明

由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

文中涉及漏洞均以提交至相关漏洞平台,禁止打再次复现主意

又是风和日丽的一天,我掐指一算,今天宜上分;于是掏出自己的宝贝工具箱,准备再摸摸edusrc排名第一的上海交大。

翻看了一遍我的祖传交大资产列表,很快就锁定了一处实验室资产。

对于这种站点,我一般的测试手法都是先扫一下目录,然后在工具扫描的同时,手工再摸一摸。

用御剑,dirsearch以及kali自带的目录扫描工具配合我的祖传字典通通跑了一遍,总算是发现了些东西。访问这个目录来到了一个配置修改的页面。

可以看到这是一个对网站信息进行配置的地方,此时的我还没有意识到问题的严重性。很快啊,啪的一下就打了几个test上去,然后点击提交数据库信息。再回头去看主站。

???

原来我的操作已经修改了网站的部分配置,导致网站无法正常访问。立马向edusrc提交漏洞报告,也是很快的通过了审核并且修复了漏洞。

不过在这里还是提醒一下各位白帽子师傅,挖洞的时候最好点到为止。本人这次操作很危险,但是好在没有造成很大的影响并且积极报送漏洞所以才没有收到相关单位的追责。提醒一下大家,挖洞千万个,规范第一条,挖洞不规范,亲人两行泪。

现在证书站漏洞已经到手,但是还缺点rank啊,于是我转换目标,准备再挖个通杀漏洞压压惊。

挖掘通杀漏洞首先就需要师傅们丰富的联想能力,什么样的资产才能被很多学校都在用?教务系统,学生管理系统等等大家耳熟能详这些已经都被师傅们挖烂了,再小众一点的校友服务系统,实验管理平台系统等等。剩下的还是需要师傅们发挥充分的想象力和观察力。

今天找到的是一个某健康服务系统,hunter搜索一下大概有百所学校在使用

页面大概就长这样子,还是开局一个登录框,我们按照以往的测试手法,还是先使用关键词"某某公司","默认密码","开发手册"结合谷歌语法搜集了一波,但是很可惜一无所获。

第二步测试弱口令,如此多的资产势必会有漏网之鱼,一般测试弱口令就随手输入admin/admin或admin/123456。皇天不负有心人,经过一番测试下来,通过弱口令能进入后台的站点有七八个。

经过测试,前台也存在反射型xss,可惜edusrc不收这种漏洞...

成功进入后台之后,功能点还是很多的。这块的测试就需要特别的细心,本菜鸡就因为粗心失去了好多个漏洞。

找到一处这样的功能点

这种情况下最常测试的就是sql注入。果断加单引号

看来有戏,直接丢到sqlmap中。

测到这里,算上弱口令和后台sql注入,差不多也能上个几十rank,换证书肯定是够了。由于我实在太菜,没能测出来未授权直接前台利用的漏洞还是让我耿耿于怀,但是总算是有些收获。

将挖到的漏洞全部提交到edusrc,打卡下班。


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

为了方便师傅们交流学习,我特意创建了一个群聊。内部会分享一些脱敏的漏洞报告,渗透测试实战案例,更有若干大牛巨佬分享经验。后续还会提供一些福利包括送书,小礼物等等,欢迎各位师傅进群交流。

如果群聊二维码失效,可以加我联系方式,备注进群


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247499507&idx=1&sn=26d1a18fd77c0625b8c9009c875e8c9f&chksm=c176035cf6018a4a259153914c8b901fea74310b7b7f87413170733b8c0cd6cecb31ab23ee94#rd
如有侵权请联系:admin#unsafe.sh