记一次网上阅卷系统漏洞挖掘

原创 zkaq-小渣渣 掌控安全EDU 2025-02-04 04:35

扫码领资料

获网安教程

本文由掌控安全学院 –   小渣渣 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（https://bbs.zkaq.cn

提取指纹后，鹰图搜索：web.body=”img/XXXXXX.gif”

img

漏洞一

首先，我先测试账号密码问题，填写账号1和密码1，会显示用户名不存在，这里又没有验证码之类的效验，所以这里完全可以用字典尝试进行爆破用户名和密码看看

img

我测试出来admin是用户名，然后试了弱密码，还是没有登录成功

img

我看了下提交的接口，是2个参数

img

img

接着我继续搜索了下接口地址，往下看js代码的时候，发现还有一个接口doAutoLogin，我发现只需要提交一个um.userid参数，也就是所谓的admin值，然后抱着试试的可能

img

我用bp工具，把接口替换成auto那个接口，然后放行

img

登录成功后台，也是最高权限

img

漏洞二

试了下存储型xss，也是有这个问题

img

漏洞三

用开发者工具看了下，全部都是暴露所有管理员，账号密码

img

测试SQL注入，我试了”—+符号，显示权限不足，但是用了单引号，就可以显示出来数据，证明是单引号闭合的SQL注入

img

最后用sqlmap -r bp.txt -p param 出结果，整个结束