记一次教育src渗透

chenqiang

原文链接：记一次教育src渗透

在一个阳光不明媚的日子

偶然看到了xx学校的新公众号

（挖教育园小tip：多关注学校公众号）

公众号内发布了一个操作新知识

抱着会不会在文章泄漏银行卡号的心情   点开一看  好家伙直接给我来一波账户密码提示


啊这，我正好之前挖过一个越权漏洞遍历过该校的所有人学号的

你这不就是在暗示我快来搞搞你们学校新系统嘛

公众号抓取链接    火狐进行访问

用户遍历（遍历全校师生账户并且直接登录全校师生此系统）+弱口令

登录处填写账户密码（都是学号），学号之前在另一个系统越权漏洞中就收集了

M181351xxxxx

点击登录—登录成功

越权1+敏感信息泄漏因为此人是毕业生，所以很多点初期还没测，测点有数据的地方
直接点右下角-我的

此时显示的页面是刘同学



在”我的”此功能点位置重新刷新页面抓包，修改学号（此时我们换一个1941400xxxxx的陈同学）可以直接越权登录陈同学账户
在uesrname处修改学号（操作要快，不然会刷新到登录界面）




直接放包 越权登录到陈同学账户上

在设置-身份证  就可以查看到该同学的身份证等敏感信息

其实像这种系统csrf什么的也是普遍可以去测的（懒得测了）
在单位这


点击

这边我也不清楚有哪些学校注册了此系统

受很多大佬启发，挖完一个洞得多思考这个洞可不可以通用刷分什么的
我在此处输入数字1 查看历史包-重发器-发现总是报错  在重发器内去搜索其他数值也会报此错误



那我就直接在第一次搜索的时候搜索1 拦截抓包 这样我搜索的就不会重复了      
点击搜索输入数字1立刻拦截流量包抓包 （搜索其他数字不行）
发现此系统在x省几十个学校都有存在

回到正题 既然知道什么学校注册了这个  是不是就可以来波刷教育园分了，前提是验证一波其他学校是不是也是学号当密码登录
为了验证这个猜想  去找我h哥了  要一个他的学号测试  被抓了就说是他干的哈哈哈（开玩笑）
最后结果是…………………..我日  没开此系统服务  这是我没想到的，那行吧先到此为止

之后哪天如果学校开启了此系统就可以刷一波教育分了
如有信息不严谨没打码处麻烦提醒一下我这个糊涂蛋~