现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队“设为星标”,否则可能就看不到了啦!
免责声明
由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
前言
首先再给师傅们道个歉,最近真的是太忙了。苦逼大学牲为了应付开学考试已经快住在自习室了,今晚稍微有点空就想着更一篇,分享一下上一周我挖到的几个证书站大学漏洞。好了,我们废话不多说,正文开始。
001 某州大学敏感信息泄露+越权
这个大学也是近期上新了证书。2023版非常的好看大气,这不得感觉搞一手。早听过大师傅说某州大学的站是出了名的难啃,但是万万没想到还是给我上了一课,最终在走投无路的情况下也是找到好大哥搞到一个统一身份认证账号。这日子一下子就好过了起来。
随手就摸到了这个系统
有了账号之后也是轻车熟路的进入后台,进入后台之后也是首先就测一下我最拿手的越权漏洞,没办法,谁让咱江湖人送越权小王子呢。越权漏洞多去一些有数据的地方找,万一在数据包里参数没有加密,很大几率就会出货。
看到这个学生名单目录,我也是直接点了进去,随后就打开mht最新版本的burp(就是嘎嘎香,就是嘎嘎好用)。
运气很好参数未加密,随手修改末尾数字返回别的学生信息,漏洞+1
返回后台功能点,看到一个让人深恶痛绝的成绩录入功能,这不得让我来摸一摸。抓包之后每个数据包挨着放
没想到随手一send,竟然给我把全部学生的敏感信息返回过来了
.....
可能这就是上天赐洞吧,整个过程不到十五分钟,打包提交走人。
002 某职业技术学院逻辑缺陷
这个漏洞可以说是相当的精彩,它的起因来自于我朋友的一次fuzz(还得是爆破大法好啊)。在这个大学的登录界面有重置密码选项,但是很诡异的是居然只需要学号就可以,但是有验证码。但是这在FUZZ大法面前都不是事儿,也是运气很好很快就fuzz出了6位验证码。
直接重置密码(此操作不建议师傅们学习哦),也是成功的进入了后台,但是没过多长时间估计是这个学生发现了,他把密码又改了回去。但是这能难住我们聪慧的白帽子嘛。
通过信息搜集,我朋友发现这个学校的学生账号是和电子校园卡绑在一起的,而且这个电子校园卡可以在该大学微信公众号免费领,而且通过电子校园卡绑定微信号只要账号密码不用验证码。这结合fuzz大法登陆之后改密码再把账号绑定到白帽子的微信上,不就彻底接管这个学生账户了吗?
说干就干...
成功接管
本来以为这波组合拳已经很骚了,没想到进后台之后又来了一个洞
在登录一个系统的过程中抓包,首先这个数据包是泄露了从普通到校级管理员的id值
接着在下一个数据包,它的请求包是空的,但是把这些泄露的id值放进去再放包,直接越权到这些老师账户上!!!
这就是当校长的快乐嘛(bushi
后台可操作空间还很大,我们点到为止。
最终也是主动的把这位同学的账户归还了回去,也算是有始有终(我们是正义的白帽子)
003 某外国语大学存储XSS
这个漏洞没什么讲头,就是一个普通的存储xss,但是发现这个站点的思路确实是很好。师傅们都知道,教育园的证书站大学资产被师傅们摸了又摸,那可真的是比自己的学校系统都熟悉,所以常规的edu.cn域名这下可以挖的站点已经少之又少了。
这个时候师傅们可以去企查查之类的找一下学校的历史备案情况,找一些非edu的域名,但是这些站点的归属还是这个学校。
就比如这个网站,表面看上去和某外国语大学没有半毛钱关系,但是它也确确实实属于这个学校的资产。
看见登录框随手有个xss payload输进去
它弹了它弹了
最终也是两个证书站顺利通过审核,不过麻烦的是小弟最近rank有点不太够换证书了,不知道哪位大师傅能资助小弟一些。
★
欢 迎 加 入 星 球 !
代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员
进成员内部群
星球的最近主题和星球内部工具一些展示
关 注 有 礼
还在等什么?赶紧点击下方名片关注学习吧!
推荐阅读
如有侵权请联系:admin#unsafe.sh