edu Src中开发商的利用技巧
2024-1-30 12:34:49 Author: mp.weixin.qq.com(查看原文) 阅读量:16 收藏

No.0

前言

计划写这篇文章也有一段时间了,不过一直都没有真正的下笔来写,这次终于抽出闲暇时间来完成这篇文章,该文章是我这段时间挖掘edusrc的一些思路,本文从edusrc中开发商的角度来完成漏洞挖掘,写一下我自己挖掘edusrc的一些小思路。

No.1

思路一:edusrc中厂商的选择

其实这也不是我个人的一个思路了,很多厉害的师傅写过这样的思路,从edusrc中的开发商中选择一个厂商,利用fofa,鹰图等搜索引擎,来搜索edu的资产

但是其实厂商的选择也有一些技巧在里面,比如我们选择厂商,可以多去选择一些,像北京、上海、杭州、南京这样开头的公司,并且挑选并没有被挖出来漏洞的公司,选择这样的公司,是因为这样的公司,他们公司主公司很有可能就在这些城市中,经济发展较好的一些城市,公司发展的情况相较于其他公司也会好一些,这些公司的业务也会好一些,更有可能存在更多资产暴露在公网上面。同时没有别人挖出这个公司相关的edu漏洞,那么存在没被发现资产的可能性也会大一些,提交重复的概率也会小一些。

案例一:北京某公司科技有限公司开发的系统存在水平越权漏洞

这个公司就是我从没有人提交过的北京厂商中挖掘到的的一个垃圾漏洞。

访问如下网站,这个网站的域名并不是学校网站的域名,但是版权所有是该学校的,一般这种资产edu都是会回复资产存疑,通过方便确认。所以如果单纯的去搜索学校的域名是无法搜集到该资产的。

先用手机号注册一个账号

然后跳过认证

点击进入个人中心

点击个人设置,修改资料并抓取“保存”的数据包

发现数据包里面存在id为280

换另一个手机号注册一个账号,同样跳过认证

抓取“保存”的数据包,发现里面存在id为281

将id为281修改280

发现第一个注册的手机号的个人信息已经被修改,实现水平越权修改

最后edu审核给了2分中危

看完以上案例之后,我们该如何去搜索开发商中可能存在的edu资产呢正常大家搜索的话就是直接复制一下厂商名直接粘贴到fofa、鹰图中,但是很多时候,这样搜索,并不能很好的找到edu资产。

发现如下这样搜索,只能看到极少数的资产

我们可以换一种办法,比如就是把公司中的关键字提取出来,然后用fofa、鹰图语法来搜索。比如公司叫上海墨尘科技有限公司。我们可以将关键字墨尘提取出来,然后用语法来搜索像:title="墨尘"、body="墨尘"、title="墨尘系统"等等,提取关键字。

还是上面这个南京公司,我使用他公司名字的关键词搜索,搜索后发现edu的资产就多了很多

同时还可以用爱企查去搜索这个公司(这里我只是随便选择了一个公司做演示,如果有侵权行为,请贵公司联系我删除文章)

我们观察下面发现,爱企查里面会有公司的商标信息,也会帮我们把一些关键字给提取出来,用这些关键字搜素

软件著作这边,可能平常测试的时候,有的师傅会把这个软件的整个名字都复制到fofa、鹰图里面去搜索,但是这样效率很低,我们可以用关键词,组合“系统”、“后台”、“平台”这样的词组,来搜索资产。

No.2

思路二:供应链思路

供应链攻击是最近几年红队比较喜欢采取的一种攻击,当目标资产建设所需各项关键基础设施和重要资源严重依赖第三方产品和服务提供商,并且大多数目标用户对第三方提供 商的产品和服务是信任的,这就为攻击者开展供应链攻击提供了条件。

这种思路在edu这一块也同样适用。之前看到过一位师傅写的文章,他在进行漏洞挖掘的时候,无意中发现了一个公司的软件著作开发系统,他通过弱口令进入这个系统,然后发现这个系统里面,保存了几个edu学校的默认账号密码,直接通过这个漏洞,进入到学校的系统内部,同时还成功给他拿到一个证书站的证书(拖出去砍了,看的我气死)。

这也算是一种供应链的攻击,通过厂商的漏洞,进而影响到的学校的系统。

案例二:某公司图书管理系统存在弱口令

我这个漏洞和我上面说的那位师傅案例是一样的,同样的是进入到某公司图书管理系统,发现里面保存着学校的账号,然后通过学校的账号,弱口令进行学校后台进行漏洞挖掘。

开局是这样一个图书馆系统,弱口令admin/123456,进入之后一开始以为是学校系统,没有想到是公司系统

发现存有大量学校的账号

接着我去寻找学校同款系统,然后弱口令进入后台,找到了学校的其他系统,这里弱口令也成功小刷了一波分。

所以我们在挖掘edu的时候,如果你想要针对某一个学校挖掘漏洞的时候,但是却没有啥产出,不妨去找找这个学校系统的开发商,也许会有意想不到的结果。

No.3

思路三:其他厂商漏洞搜索

之前我们一直把思路就是困在edusrc中提供的开发商,但是我们在平台挖掘的时候,也可以去搜索其他公司,因为中国公司那么多,edusrc上不可能把所有的公司都罗列出来,所以我们可以通过fofa、鹰图去搜索其他其他厂商,这样也能找到更多edu资产。

那么在众多公司中,我们如何确定说哪种公司是会和edu扯上联系的呢。在教育产业中,肯定很多公司都会在公司的名字中加入”教育“两个字,让别人一听就能知道这是一个和教育产业挂钩的公司,就像食品公司、自来水公司,都是一个道理。

所以我们搜索资产的时候,可以直接:body="教育科技有限公司"、body="教育有限公司"、body="教育公司

但是这样还是不够准确,因为像一些培训机构之类的,也会叫自己教育公司,所以为了更加准确,我们可以添加一些关键词:

web.body="教育科技有限公司"&&(web.title="幼儿园"||web.title="小学"||web.title="初中"||web.title="高中"||web.title="大学")

这样语法搜索出来的资产也会更准确。

我也通过这样的搜索,挖掘出一个通用逻辑漏洞

漏洞案例三:北京某教育科技有限公司存在密码绕过漏洞

访问如下网站

点击登录,输入admin,密码随便输入,抓取数据包,将密码替换成如下数据:!@#$%%5e或者!@#$%%5e%26%2a()(重点,不能直接输入在前端登陆密码框里面,会被编码的,在抓包的数据包里面修改)

显示成功登录后台,绕过密码

变成管理员权限,可以控制网站

本来以为可以小刷一波分数的,但是审核评价

最后搜索了一下公司,发现超过5000W资产,转手提交CNVD,混证书一张。

No.4

总结

1、在平常的漏洞挖掘过程中,我们不仅要把目光放在学校本身,还要寻找与学校相关联的公司,这样才能挖掘出更多有用的信息。

2、上述讲的一些思路,大家自己也可以随意发挥,来尝试去寻找更多的资产。

3、最后如果有啥写的不好的地方,请师傅们轻喷,谢谢大家。


如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款

往期回顾

xss研究笔记

SSRF研究笔记

dom-xss精选文章

2022年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips

往期回顾

xss研究笔记

SSRF研究笔记

dom-xss精选文章

2022年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247493408&idx=1&sn=8b2caa71a0caa3ff10a7c2df290c7579&chksm=e8a5ed43dfd264556d599f103e52f064ff5659e263279b756d0dab4b08dc64ab74370c65980b&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh