今日讲堂:组合拳杀入教务系统(越权 弱口令),弱口令yyds!
周末闲来无事 准备冲一手高级白帽,在挖洞路途中发现一个教务系统,同时发现这个版本在最新厂家更新版本里算是低版本,猜测还存在一些漏洞没有及时修复
打开是一个登录框,看到登录框基本都老三样,sql万能密码,查看登录接口是否会返回敏感信息,逻辑绕过,弱口令。弱口令虽说是yyds 那也是在其他方法无法实现情况下进行暴力猜解。
这次也算是幸运女神眷顾我 还会友情提示 你输入的账号是否存在于系统内,密码错误时还会提示密码错误嘿嘿,直接弱口令爆破
成功爆破出两个用户,其中一个是单纯的班主任账户,另一个是校园管理员
进入后台 发现可以查看的东西嘎嘎多,建站用的是asp.net 在所有文件上传处上了几个asp,ashx的免杀马,都是无法解析。那就看看有没有其他类型的漏洞
在浏览各个功能点 发现一处关于教师的信息,登录名这边就是教师是身份证,还有一些教师偏偏嫌弃身份证号码太长,改成一些自己的名字拼音缩写和拼音全拼
点击编辑页面 寻思着能否发现其他关于教师的敏感信息,发现居然存在口令??! 直接利用F12sec团队的F12大法 修改一下input中的type类型数值为text
鸭儿哟,直接看到口令,同时尝试登录这个教师账户,成功登录 但是很多权限都没有,对于查看信息只能够获取自己为班主任的班级的信息
学生用户这边也是同理可以直接查看明文密码
还发现一处好玩的,有监控 还有多媒体放映平台 懂的都懂嘿嘿(这边有点无关紧要hh )
当我寻觅完各类功能点和各类功能点可能存在的漏洞,一无所获,正当我准备换下一个站进行爆破的时候,发现我的BP红了 应该是有什么敏感信息,发现POST数据里就是上文提到的各类用户管理的数据
下面的GET参数 发现了并没有ID参数的传参,毕竟之前寻觅功能点的时候发现很多都要带上类似Session来访问。猜测可能存在垂直越权访问
发现必须要带有token进行访问才能访问用户管理页面,利用我们之前爆破出来的另一个班主任教师用户进行登录。可以发现 此用户没有权限打开系统管理这个功能点
直接拼接URL地址,发现可以直接访问到查看用户的页面,但是没有编辑权限,所以F12大法就告退
后来又用管理员账号进行一些信息收集发现 默认密码 的提示,同时在那个F12大法的地方,你会发现教师的默认密码为六个0
知道了这些信息,进行对其他系统的撞库(我们撞库肯定是利用一些测试用户,或者系统内置的用户),FOFA大法
打开另一个站,存在验证码,发现拦掉不发送,就不会刷新。这边我们利用在上个系统中收集到类似内置用户和测试用户的账号,密码为六个0和默认密码进行爆破,成功爆破出一个宿舍用户
宿舍用户依旧没有权限。利用在上个系统发现的越权,直接查看用户信息
600 的教师 我就不信没有一个用的是默认密码和六个0,
后续也是成功爆破到了一个管理员用户依旧是使用默认密码,后续操作依旧是跟前文提到一样。我运气也是比较好 好几个教务系统都是有内置管理员用户也是默认密码,省去了大部分时间。
数据量真的是嘎嘎顶
(所有涉及系统都已提交EDUSRC)
