安全矩阵

 找回密码
 立即注册
搜索
查看: 3084|回复: 0

实战 | 某开大学的漏洞挖掘之旅

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-3-2 22:07:45 | 显示全部楼层 |阅读模式
原文链接:实战 | 某开大学的漏洞挖掘之旅

前段时间颓废了很久,每天都在打游戏玩手机,某天晚上深思良久,愧疚感蹭蹭往上涨,碰巧看到群里某老哥挖了个某开,便想着也去搞一个。






之前都听说某开很难搞,直接搞子域名可能难度比较大,聪明如我当然是直接来到fofa找C段。通过搜索到的一个某开资产,来到https://www.ip138.com/这里查询,也是直接确定了一个C段。

C段找到以后,直接上手扫了一遍,找到一个目标资产瞬间引起了我的兴趣。

为啥呢,因为我看到了注册按钮。这踏马的,一看就像是有洞的感觉。

有注册,就说明有用户。有用户,就说明存在越权,信息泄露,xss等等漏洞的可能性比其他站点的可能性更大,也更容易出洞。

那这我踏马得马上注册一个号啊,

注册的时候,直接插一个xss。
来到登录界面,果不其然,一个存储型xss到手。

但这也就仅仅1个rank。得想个办法搞个中危才行啊。
网站是基于session来标识用户身份的。而常规的修改参数越权,也几乎不存在。

因为用户这一块,功能太过于单一,登录进去就一个修改密码,修改昵称等等。所以用户这一块,基本上找不出什么漏洞。
常规漏洞应该是出不了了,那看看有没有任意密码重置啥的逻辑漏洞。

cnm,根本不能修改密码,这管理员怎么想的。

域名后面一手admin,后台出来了。

http://xxxx.edu.cn/admin/public/login.html
想着爆破一波管理员密码,但是有验证码没法搞。但我还是试了十多个非常常见的弱口令。

毕竟头铁,有一次针对管理员密码无法爆破的情况下,靠着一个一个试弱口令,试了几个就出来了。所以这种耗费时间不大,收益极大的事情,该头铁还得头铁,好了,不过话说回来。我这里没有试出来。

/admin/public/login.html
但是这个域名,这个路径,让我觉得似曾相识。
直接访问public。
直接返回一个报错页面,发生肾么事了????原来是onethink。

马上啊,对着版本号搜了一波,果然,这个版本好像是有洞的。


正当我payload打过去,以为中危稳了的时候,踏马的,有狗!


WAF不会饶,而且有可能绕过以后也不一定有洞,所以这个点我是放弃了。扔给搞师傅看看。

扫了一下端口和目录,也没啥可测的。放弃放弃。换下一个目标,可别在一棵树上吊死,不然等会天就亮了。



经过一段时间的苦找,又入手一个目标,是一个邮箱系统。
嘿嘿嘿!直接干!
站点页面如下图:

我踏马直接一手
123456
123456然后抓包查看验证流程,并想侧一手注入。
疑惑的地方诞生了,burp无法抓包,而且一直处于响应状态:


第一个想的是可能有js验证账号等。但是js我翻找了一遍,发现并没有。那么有可能就是站点功能缺失。
如此说来,这是个垃圾站,功能都没有做好。这种缺少维护的站可能出洞的几率也是比较高的。Burp无法抓包。其他的目录端口也无敏感点。只有从js文件等入手,查看有无暴露的敏感信息,比如用户密码,接口,cms等等。

源码里面一个ajax传参泄露了网站路径:

访问后确实有这个文件:



测一手目录穿越,访问code文件夹

http://xxxxx.edu.cn/xxxxxxxx/code/
发现确实存在目录穿越漏洞:

存在目录穿越,尝试访问他的不同文件夹,看看有无敏感信息文件泄露。
#1发现敏感信息文件泄露,职工姓名和邮箱泄露:

ASCII解码即可查看明文:


#2查看所有用户收发信箱文件
(这里我觉得是一个比较有价值的点,可以查看用户的收发文件,不免有很多敏感文件,比如入学申请书等等,文件是很多的,直接会卡一会。就不放太多文件内容了,比较敏感):

/code/data/




#3查看部分邮箱内容:
图片.jpg 这里找不到图片了。但是可以确定的是,可以查看用户发邮件的部分内容。

其他泄露的敏感文件还有很多,例如日志信息等等,这里不进一步深入了,已经足够拿中危了。打完收工。


此时已经是凌晨四点多了,给好基友报个喜:



踏马的!睡觉。




吹灭读书灯,一身都是月




回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 22:53 , Processed in 0.012889 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表