文章源自投稿
作者-Aran
据我所知edu最便捷的挖掘方法有三种
第一种就是弱口令,很多系统拥有学生或者管理员默认密码或者初始密码,可以通过该方法进入系统进行深度挖掘,毕竟给个登录框也搞不点啥样。
第二种就是0day,手握0day无所不通,不如框架0day,路由0day,正方系统0day等。
第三种就是逻辑漏洞,逻辑常用不怕你挖不倒。
本次记载着一次逻辑漏洞(善用谷歌语法你会挖到更多)码死免得有心之人。
site:可以限制你搜索范围的域名.
inurl:用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用.
intext: 只搜索网页<body>部分中包含的文字(也就是忽略了标题、URL等的文字)
intitle: 查包含关键词的页面,一般用于社工别人的webshell密码
filetype:搜索文件的后缀或者扩展名
intitle:限制你搜索的网页标题.
link: 可以得到一个所有包含了某个指定URL的页面列表.
查找后台地址:site域名
inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms
查找文本内容:site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
查找可注入点:site:域名 inurl:aspx|jsp|php|asp
查找上传漏洞:site:域名 inurl:file|load|editor|Files
找eweb编辑器:
site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
存在的数据库:site:域名 filetype:mdb|asp|#
查看脚本类型:site:域名 filetype:asp/aspx/php/jsp
迂回策略入侵:inurl:cms/data/templates/images/index/
本抱着挖弱口令的心态,首先我收集了site:xxx.edu.cn intext:学号 、找到了大量学号。
再收集site:xxx.edu.cn intext:默认密码
然后就是收集site:xxx.edu.cn intext:登陆/后台登陆/登陆管理等的登陆页面
当一切都准备好我们就可以开始去捣鼓。
我找到一个管理登陆页面,图我就不贴了免得有人认出来。尝试用弱口令和默认密码去登陆发现并没有成功,看见还有注册跟密码找回模块去看看。
先看密码找回需要教师或者学生编码和预留邮箱,我收集的时候并没有收集到相关的邮箱信息所以我放弃这个模块。
再看看注册
简单来说就是我们拥有学生编码和姓名就可以任意注册漏洞,当我输入学习信息时。发现它有一个很神奇的功能就是会自动填充信息。
惊呆了我这功能是真的方便。。。。。。我通过他的数据包抓取来studentcode=学号,从2015-2019我预估有20w得到了学号/姓名/学院/身份/电话/邮箱/头像信息。
手里握着这么多信息我们可以去跨越另外一个登陆系统。登录框我也不贴了~~~从忘记密码入手。
四大步骤-填写用户名-验证身份-填写新密码-完成
看见那个红色星号又兴奋既紧张,我觉得这个开发很不严谨,只要学号配合名字就能直接验证身份。那你那些条条框框有啥用呢。
2333我错了,但是我们刚刚以及获取了电话和邮箱,这样就拥有了三个信息。
通过修改密码我们又成功登陆了一个系统。
通过该系统发现可以跳转到另外一个系统
另外一个系统 通过抓包发现存在一个越权,在修改个人信息处id=XXX数字,即可查看个人信息。我试着id=1发现1是admin账户。
尝试通过修改密码看看能不能越权修改,发现并不可行。
试着搜索该系统的默认密码site:xxx.edu.cn intext:XX系统 默认密码
发现学生默认密码为889900,登陆管理员康康
以上漏洞已告知相关负责人,并未做任何窃取信息行为。
