0x01 前言
宝子们现在只对常读和星标的公众号才展示大图推送,建议大家把李白你好“设为星标”,否则可能就看不到了啦!本文由陈冠希投稿至李白你好并打原创标识。欢迎师傅们投稿,投稿有奖励!
0x01 前言
上课闲着无聊到处看公众号的文章,翻到了某学院的财务系统
这写的好简陋,逃课回去拿电脑看看十有八九存在漏洞,不用想注入肯定不存在,而且这学校的WAF还挺厉害,无回显界面,直接封ip,一个select就封,我都是校园网和热点一起上的
0x02 开始测试
先看看用户注册
这也太随便了,直接身份证号就行,连邮箱都不用激活
轻松任意用户注册到手,但是可惜edu不收这种垃圾洞,继续吧,使用账号密码登录系统
好家伙验证码都是前端认证的,继续进行
这也太简陋了,系统也简单,但是注意这个url,直接访问IP看看咋样
开始高端起来了,使用之前任意用户注册的账号看看咋样
很好,啥都没有,算了还是回去上课吧,没啥意思,找回密码也看了,一样写的都简陋,去看看fofa吧,碰碰运气,看看存不存在弱口令
来了来了,感觉要出弱口令了,点这个链接,发现存在管理员用户名,但是密码要猜,这时候就可以爆破了,因为这个学校不存在WAF
但是存在验证码,但是之前appjf目录下面的哪个系统是前端验证的,这不就组合起来了吗
登录五次限制?开始我也是感觉不对,但是这个appjf目录下的着实写的不好,密码对了还是可以进系统
来了来了,直接进去了
既然系统都一样,拿会不会其他学校也存在这样的密码规律,直接去第一个学校的地方看看
来了来了,高危来了,最终这个系统基本上安徽十多万学生敏感信息了
都进系统了,进去测呀,未授权,csrf,文件读取,越权,都看看,继续继续
先修改密码看看,这里修改用户密码存在两处,一处是数据库查看处,一处是用户管理查看处,这里都抓包尝试了
第一处:学生管理
sqlserver,这里的sql接口验证了身份,估计是不行了
第二处:用户管理处
本来以为这里调用的应该是同一个接口,但是这里的接口是不一样的,而且可以看到只需要遍历userID,即可修改全校学生
产生原因:未对接口处的cooki进行身份验证,导致直接修改密码
不出意外又是通用,这里cookie写的薄弱,拿继续看看关于cookie的地方。之前任意用户注册起到作用了,直接使用之前的用户,把cookie拿出来就行。把管理员的cookie删了,换上自己注册用户的cookie
直接越权了,可恶,刚和老师说就修了,文章都没来及写
0x03 总结一下
1、任意用户注册:直接抓包发现,看回显值,没想到这里连邮箱激活都没有,验证码还是前端验证的
2、弱口令的发现:使用fofa寻找了一圈,得到了这个管理员用户名,然后再不存在waf的学校进行爆破,得到弱口令
3、任意用户密码修改:两个用户修改密码修改,一处在数据库管理处,一处在用户管理处,两个接口不同,其中一个接口未鉴定cookie,另外一个鉴定了cookie(这里cookie校验也不严谨,导致产生越权),未鉴定cookie的修改密码处,直接可以将全校学生密码修改,但是这个漏洞的缺点是:userID不是学号,数据包中userID需要遍历,而且数值大,但是这个系统的userID大概范围是一样的,而且管理员的userid无法改变
4、越权:这里产生的原因是因为cookie鉴定不严谨,仅鉴定了是否登录,未鉴定是否管理员,导致一个学生可以访问全校学生的敏感信息
5、估计这个系统还有漏洞,但是不想挖了,交报告交的头都大了,edu也没脚本交报告,点到为止吧
0x04 链接获取
文章来源:陈冠希
原文链接:https://lf2022.cn/?p=10129
0x05 往期精彩
揭开网络诈骗面纱:诈骗钓鱼网站与防诈骗的专业透视
记一次edu实战