较为丝滑的一次证书站漏洞打包
较为丝滑的一次证书站漏洞打包
原创 1708qq_com 掌控安全EDU 2024-11-28 04:01
扫码领资料
获网安教程
本文由掌控安全学院 – 1708qq_com 投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
又一个风和日丽的下午(doge),找到一个感觉有洞的登录框,因为可以注册一个用户
img
二话不说,直接注册一手
利用注册的用户,成功登录
img
访问登录界面
img
测试了一些基本的修改信息,尝试越权查看信息都没有,于是退而求其次,看看登录框处有什么可以测试的
验证码可爆破,重置任意用户密码
点击忘记密码
img
输入对应的账号名
img
六位数,15分钟有效
img
可以尝试爆破,如不会被waf拦住的话
img
可以爆破成功,通过爆破六位验证码,可以重置验证码 通过注册的功能点,可以知道哪些用户是已经注册的了
img
这样可以根据用户名,重置任意密码 但是因为是六位,即使提交了,可能也就是低位,所以还不行。
逻辑漏洞+弱口令
要先分析出逻辑漏洞,就得认真看数据包
img
点击登录,bp抓包 拦截数据包
img
有几个参数需要注意 loginName,realname,userRoleCode是否可以通过修改这些参数,调用一些接口返回一些敏感信息呢?大胆猜测,小心尝试
img
然后一直放包 可以看到只有这个地方是改变的,其他地方没有改变 点击“我的评论”
img
可以看到一些评论,相比之前之前注册的账号是没有的,说明评论这处的接口调用是根据这里来的
img
抓取数据包,可以看到评论者的一些信息(家庭住址,登录ip等)
img
继续往下看的时候,发现泄露类似这个学校的教师工号 通过历史数据包中找到,这个用户名的查询接口,发现返回的信息确实是这个学校的
img
得到工号有什么利用的地方呢?如果只是泄露了这些信息也算不了有多敏感,当然不能到这里就停手了。以退为进,还是退到登录框那里,因为一般系统给老师的账号都是一些比较容易记忆的密码,如:
工号/工号 工号/123456
一般这两种的可能性最大
img
正如上面所说,登录成功!
img
img
继续延续上面的猜想,可以横向扩大一些危害,遍历教师工号,看看能不能找到一些高权限一点的教师账户
img
泄露其他用户的手机号信息
img
成功弱口令登录多个教师账号
img
在多次登录的过程中,找到了一个算是比较高权限一点的账户,可以管理这个网站的大部分课程内容
img
所管理的课程都可以编辑,增删改查权限都有
img
云盘未授权
在个人中心中,发现了一个云盘
img
发现大量的信息泄露
img
切换到一个新的浏览器 http://api.xxx.xxx.edu.cn/api/yunfileController/indexNew?pan= xxxxx
发现也能打开!存在未授权访问云盘,pan参数后面的参数也是可以猜测的 是base64拼接_yunpan_session+url编码的 比如这样 http://api.xxxx.xxx.edu.cn/api/yunfileController/indexNew?pan=MTIzNDU2X3l1bnBhbl9zZXNzaW9u
MTIzNDU2X3l1bnBhbl9zZXNzaW9u
url解码
img
base64解码
img
所以我们通过这个接口,只要知道工号就可以接管对应教师的云盘账户了(不会鉴权)
总结:
看系统的时候,有时候一个工号都会是一个极大的突破点,这个站点我也看很久了,之前一直都没有注意到这个工号,所以细节决定成败,不过所谓细节也得是自己能力能注意到,才能利用得上。
最后,也是一个中危,目的达成。