常见EDU漏洞，附实战案例

锐鉴安全 2025-04-25 05:06

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。

关注公众号，设置为星标，
不定期有宠粉福利

0x01 前言 
今年对某高校进行了渗透测试，发现了一些比较经典的漏洞，写一下和师傅们一起分享。

0x02 漏洞详情

1.教务系统登录处短信轰炸学校的教务系统登录处，发现有一个手机验证码认证这里会发送一个验证码正常来说，每发送一次短信验证码，这个校验码就会自动更新一次，然后会报错：“验证码错误”。但是这里抓包之后，发现能抓到两个数据包这是第一个数据包，可以发现是对验证码的验证，我们把第一个数据包通过之后，拿到第二个数据包：可以看到我们的手机号出现在了第二个数据包中我们点击放到repeater，然后点击send，可以发现一直发送：原理：正常来说校验码的验证和发送短信应该是在同一个数据包中，这里不严谨的设置，将校验码的验证和发送短信的数据包分成了两个，我们输入正常的验证码，通过第一个验证的数据包，拦截第二个发送短信的验证码，即可实现短信轰炸。这里分享一下短信轰炸的几种绕过方式：1.手机号前面加空格进行绕过这是挖某专属src时遇到的account为手机号，正常情况下，一个手机号短时间内只能发送一条验证码。在account中的手机号前面每加一个空格可以突破限制进行多发一次验证码，burp设置两个载荷第一个载荷用于填充空格，设置为50（这样设置，一个手机号就可以发送成功50条短信）第二个载荷用于循环遍历手机号，可以设置遍历10万甚至更多的手机号2.加字母等垃圾字符绕过或者+863.伪造XF头2.校内某实训平台任意用户注册、任意用户登录、修改任意用户密码、验证码爆破这是校内某实训平台，我们先点击注册功能点。我们点击获取验证码，然后进行抓包：可以看到手机号被编在了url里，我们这里使用“,”去拼接手机号，这样就可以把验证码同时发送给两个手机号，并且收到的验证码相同。好比我知道你的手机号，拿你手机号去注册，我根本不需要知道你的验证码，因为验证码也会发到我手机上。修改密码功能点也是相同，我这里不进行过多赘述正常发送验证码，然后在填写验证码的地方，随意输入四位数可以看到在7710的时候，长度不一样，成功登录进去了。修复建议：：对验证码输入次数进行限制3.越权查看所有学生和教职工个人信息，数万条记录教务系统个人中心处有一个查看最近登陆记录的功能点，发现右上角有个查询，我们抓包尝试：可以看到这里可以看到我们的登陆情况，我们尝试去修改value的值，看看能不能直接越权查看别人的登录信息。但是发现无论修改成什么都会提示登录信息错误。修改成0、1、-1都不可以，但经过我的尝试发现，只有一个值可以，那就是null！我们让value=null但是登录的记录明显有点少，而且观察发现好像都是登录失败的记录，这时我发现有个name字段，我把userid改成*：拿下所有学生和教职工的个人信息，包括姓名、手机号、身份证号、学号、教职工编号、登录ip等4.校内某平台druid未授权访问，导致泄露用户session，可以实现任意用户接管这是校内的一个实习平台，url为“https://xxx.edu.cn/shixi/”然后之前读文章读到了一个druid的未授权拼接，/ / druid / /于是尝试拼接 ：“https://xxx.edu.cn/shixi/druid/index.html”可以看到是有druid的未授权访问，这里会泄露很多东西，比如数据库信息，数据库查询语句、访问记录等等。我们这里搞一下session。可以看到有一个session监控：可以看到这里有登录过系统的用户的session，我们要做的就是把session收集起来。这里我有个比较好用的方法，可以ctrl+a复制全页，然后粘贴到excel里，然后选中session列，就可以快速地把session复制到txt里了。可以看到我们把session这样收集到了txt里，然后打开yakit把txt导入到yakit的pyload里，然后去抓一下登录窗口的数据包：可以看到cookie有个jessionid，我们把他的值设置成标签，然后去拼接刚才的session的payload去批量访问：可以看到有很多200成功访问的，也有一些无法访问的，无法访问的原因主要是因为session是具有时效性的，长时间后这个session可能就会失效，但是只要源源不断的访问这个系统，我们就可以源源不断的盗取新的session。我们找一个200正常访问的数据包，把里面的session复制下来。然后回到网页，打开f12里的存储，替换里面的jsessionid然后刷新页面：可以发现直接接管了别人的账号，登录进了系统。如有侵权，请联系我们删文！