前言
“
申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!
Part 1漏洞挖掘
“
日常EDUSRC上分,看到群里的师傅都是用0day刷屏,DD就只能羡慕了。
回到正题,访问到某学校登录认证界面,可以看到登录界面上没有验证码,账号是学生学号和教师工号。
测试点:SQL(无)、爆破(√)
通过信息收集到学生的学号后尝试爆破弱口令,成功爆破出几枚用弱口令的学生账号密码。
利用弱口令成功进入到管理界面,查看系统的功能点,把每个功能都点一遍,查看到相关接口泄露了信息。
查看到另外一个接口,遍历接口可以获得全校用户的用户信息。数据包含password、token字段
登录替换password字段可以任意登录用户的账号
教师的工号信息从另外一系统上也成功获取到。
获取完成在利用教师的工号去爆破,成功爆破出弱口令,并登陆成功。
个人资料—水平越权,修该userId可以查看其他老师的信息
访问到教务系统任意文件下载
访问图片提示文件不存在:
代码语言:javascript复制http://xxx.xxx.xxx/downloadservice!getIcon.action?filename=PXRlYXpwPTE5ODg5NjAzLmpwZw==&0.39213768540383365
抓包查看,filename的参数是base64加密
解密后发现加载的是图片
修改访问的路径,再次编码
修改payload后访问,成功读取到passwd。
访问到学工系统,先查看一波使用的框架,spring的
访问/env显示出日志信息,有可能存在未授权。
抓包打一波payload,把GET请求改为POST,地址是自己的VPS.
POST/refresh 刷新配置,成功反弹shell,拿下。
最后上分成功。
