某985证书站挖掘记录
2023-10-19 17:8:35 Author: www.secpulse.com(查看原文) 阅读量:16 收藏

本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。文中涉及漏洞均以提交至教育漏洞平台,现已修复。

本人从9月10号开始挖掘教育网的漏洞,截至到10月10号已经上了一百多分,其中还挖掘到了多个证书站的漏洞。 然后经过有师傅提醒,说某某985证书快要上线了,我看了一下漏洞提交的还不算太多,这不赶紧抓住机会上分一波?从清楚目标到挖出漏洞不到一天(主打一个快速挖掘),于是就有了这篇文章。

渗透测试的第一要义是信息搜集,你能搜集到别人搜集不到的信息,你就能挖到别人挖不到的漏洞

这里推荐我使用的一个集成工具:oneforall,工具地址:https://github.com/shmilylty/OneForAll

1

然后收集到大量资产后,我会先初步使用httpx对一些路径进行快速批量探测:

httpx工具地址:https://github.com/projectdiscovery/httpx

2

httpx.exe -path /api/users -l target.txt -title -tech-detect -status-code -threads 50 -web-server -mc 200

这里将你搜集的资产的链接放在target.txt

  • -path /api/users: 这是目标URL的路径,其中/api/users表示要测试的API端点的路径。

  • -title: 此选项指示工具在输出中包括目标网页的标题。

  • -tech-detect: 这个选项告诉工具进行技术检测,它将尝试识别目标URL上运行的Web服务器和后端技术。

  • -status-code: 此选项要求工具返回每个请求的HTTP响应状态代码。

  • -threads 50: 这个选项指定了并行执行的线程数,工具将使用50个线程同时测试目标URL。

  • -web-server: 此选项告诉工具输出目标URL上运行的Web服务器的信息。它可以显示服务器类型和版本等信息。

  • -mc 200: 这是一个过滤选项,它指定了匹配响应状态码的条件。在这里,-mc 200 表示只输出具有HTTP响应状态码为200的结果。

然后经过初步信息搜集后我锁定了某个可疑站点因为可疑直接注册,于是开始着手渗透。

3

漏洞点1--未授权访问

测了一下注册点逻辑,利用不了遂放弃进入后台。

【帮助网安学习,以下所有学习资料免费领!领取资料加 we~@x:yj009991,备注 “安全脉搏” 获取!】
① 网安学习成长路径思维导图
② 60 + 网安经典常用工具包
③ 100+SRC 漏洞分析报告
④ 150 + 网安攻防实战技术电子书
⑤ 最权威 CISSP 认证考试指南 + 题库
⑥ 超 1800 页 CTF 实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP 客户端安全检测指南(安卓 + IOS)

然后我进入了个人后台,我发现了有数据申请的功能于是着手开测:

4

遇到上传点,我们测一测!

5

嗯?没有过滤吗?直接传上shell了?但是Burp抓包查看返回也没有留下上传路径遂作罢。

6

然后我点击了下载模板按钮抓包如下:

7

https://xxx.edu.cn/xxx/xxx/download/161

我的直觉告诉我这个链接非常可疑!

我这里直接改成其他数字,啪!直接把别人上传的隐私文件下载下来了!

8

通过burp快速探测我发现数字为 157 ---293都可以下载文件,也就是说泄露了快150个敏感文件。如果不修复这个漏洞的话,后面不管谁上传的文件都可能被任意下载。

还有多个学生证照片/教工证照片/内部信息文件等敏感信息。好嘞初步rank到手!

这里就可以解释一下我上传shell了但是却连接不上:

访问对应的链接发现:

9

Content-Disposition 是 HTTP 头字段之一,它通常用于指定如何处理由服务器返回的响应内容。

这里这个头的意思是告诉客户端浏览器,响应的内容应被视为附件(文件下载),而不是在浏览器中直接显示。我尝试绕过也没有成功,也就是说文件直接没有解析了所以getshell方面我就作罢了。

为了确保能上中危,我决定再继续测一点功能。

漏洞点2--水平越权

注册两个账户

10

11

截取POST包:

12

13

回显成功:

14

15

通过这样可以让任意申请进行提前提交。

总的来说信息搜集非常重要,同时细心也非常重要。不要因为某个点没测成功就放弃了,可以多去尝试尝试其他的地方。而且想要快速出成果的话最好去找那种可以任意注册的站~

本文作者:合天网安实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/204081.html


文章来源: https://www.secpulse.com/archives/204081.html
如有侵权请联系:admin#unsafe.sh