edu挖掘从弱口令到RCE

扫地僧的茶饭日常 2025-01-04 08:02

扫码领资料

获网安教程

本文由掌控安全学院 –  洛川 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

访问某学校官网点击教务在线

找到实践教学管理平台

来到学校的毕业设计系统登录界面

通过弱口令学号学号登录进去，学号直接搜索引擎搜索得到即可

发现cookie有OA_User，unumber，Powerid字段，OA_User为id号，unumber为用户名，powerid为权限组

水平越权

点击个人信息抓包修改OA_User可以看到返回其他人信息

垂直越权

修改OA_User还可返回教师信息

然后我们对powerid进行修改可以看到成功登录教师账号

通过bp爆破发现管理员id为1 ，powerid为4，所以powerid 6为学生，5为教师，4和1为管理用户。

可以登录管理员账号

任意用户添加

构造管理员数据包可以直接添加用户

可以看到成功添加

任意密码修改

抓包并打开修改密码

随意修改OA_User

输入新密码

抓包并点击提交，将OA_User修改为txtUname对应的即可成功修改

pdfxss

登录管理员账号

来到发布公告功能点

上传pdf附件

所以查看公告点击附件的学生均会弹窗

存储型xss

还是发布公告功能点

点击查看公告即可弹窗

这个危害还是挺大的，所以查看公告的学生或老师或管理员都会弹窗，假如打个危害大的payload可以做到接管所有人账号密码

SQL注入

找到个搜索框

抓包点击搜索

打上payload发现存在时间盲注，直接上sqlmap

RCE

发下存在堆叠注入，那直接os-shell拿下

直接拿下system权限

最后提交edu拿下高危