记录一次手慢的edu通杀
2022-12-14 10:17:25 Author: 黑白之道(查看原文) 阅读量:20 收藏

注:参加某edusrc平台活动,已授权,本文部分图文无关!部分图片厚码请谅解。

首先打开站点,发现是一个教学平台,直接有账号密码,连注册都省了

xss

点击修改,标题插入xss

点击确定保存返回,发现尖括号都被转义了

再次修改,闭合双引号

确定后保存,再次点击修改进入页面

水到第一个洞

sql

ajax方法请求的Url有sql注入

继续测试,上传图片接口有白名单+黑名单校验

只能从其他地方入手了。

upload

但是看了一眼上传框的UI

怎么这么像ueditor,而且.net版本的ueditor可以接口实现文件上传getshell,具体文章参考潇湘信安公众号的文章: https://mp.weixin.qq.com/s/mH4GWTVoCel4KHva-I4Elw

所以现在是要找到ueditor的路径。在网站上翻找,发现uedirot配置文件的路径,就在网站根目录下:

离getshell更近了。访问可以上传文件的action看看 http://xxx.com/ueditor/net/controller.ashx?action=catchimage

和想象中的不一样啊,怎么出现了500报错?没学过.net的我哭了,但是可以暂时得出一个结论,这个ueditor的配置做了一些改动,必须通过其他文件来调用才能实现ueditor原有的功能。继续往下看数据包,发现了另外一个ueditor的url

打开url

http://xxx.com/xUeditor.UeditorConfig.cspx?action=config&&noCache=1666165414111

这是ueditor的配置文件,注意看action参数config,把他改问能上传文件的actioncatchimage试试

好了,直接按照文章的方法,首先试试1.5.0版本的payload

有请求,而且返回了webshell地址

拿下 发现网站目录下还有不少其他大学类似的网站,感觉像是EDU的一个开发商

于是在EDU上搜索了一下发现果然在厂商名单中

爽,正当我沉浸在马上要刷屏edu SRC的时候,点进去一看发现在7月份的时候有一位师傅已经交过了......

寄以此文,纪念我这小菜鸡第一次挖掘到的EDU通杀漏洞。感觉有些时候通杀并没有很难,就是需要多细心,如果一次利用不成功,不要着急,细心下来思考其他利用点,说不定就会有意外的收获。

文章来源:TIDE安全团队

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650558550&idx=3&sn=cf6d9f2064c1e39206a1f565a1d987f3&chksm=83bd35b2b4cabca48f54dc0c0f89226209644531d23df09de1a94cc331b9cd0d0623c013b1e3#rd
如有侵权请联系:admin#unsafe.sh