免责声明本报告仅用于安全研究和授权测试未经授权的渗透测试行为是违法的切勿用于其他用途请确保在合法授权的情况下进行安全测试出现任何后果与本人无关。看功能点刚开始统一跳进来之后能走的功能点并不多只有个欠费报道查看这边走了走没啥产出敏感信息泄露1点击工作代理这个功能点能查询返回用户抓包看看有敏感信息身份证手机号等但是不知道多少key0或者其他都只能查询到一部分并不知道具体用户数量。尝试将key制空或者keya-z或者key星号键“都不返回最后将key删除返回了所有用户数据。一共一千多点用户。批量请求js路径敏感信息泄露2继续挖被动插件jsrouterscan提供了许多接口直接一起放到intruder模块批量请求爆红出货啦SQL注入跟js跟到下面接口/yxkvkshSet一个统计大屏界面可以操控点击大屏显示的功能点SQL延时注入跟到下面的请求包存在延时注入轻松绕过每一个模块均存在延时注入由于edusrc同类型只收三个所以提交了三个接口poc如下pcid%27and%28select*from%28select%2F**%2Fsleep%286%29%29a%2F**%2Funion%2F**%2Fselect%2B1%29%3D%27查指纹打同类型站点扩大危害还记得刚开始我们是统一跳进来的但是这个学校功能点太少了作为一个学生智慧平台不太可能去查询指纹打点同类型的站看看有没有新的产出。通用资产查找我没有写过找通用的文章这里找了个若依的 举例补充一下通用查找方式 1icon不全F12 检查来到网络刷新一下页面会加载一个.ico访问 ico 的链接下载下来用资产测绘平台检索可以检索到同样存在这个 ico 的资产这里不推荐拿学校举例学校会把这个 ico 换成自己学校的图标这样 ico 检索就检索不到了。通用查找方式 2静态资源这种比较特殊的接口和这种一看就感觉有点特殊的 cssjs 或者接口啥的也都可以作为指纹来检索,可以多尝试这里随便举个例子包括查看网页源代码这种比较特殊的文字内容都可以作为指纹检索出来一打开也都很明显是若依框架查 ico 就查不出来的通用查找方式 3厂家官网合作知道开发商是谁后直接查他们的官网他们官网一般也都会有合作单位的案例然后直接 hunter 定向检索就行或许会有其他收获登录其他院校找到其他学校站点登录不跳到统一去登录有忘记密码功能点发现重置密码只需要用户名和身份证号记下来忘记密码的接口我们在这个接口能查到超级管理员的账号和身份证重置超管的账号密码记录不用统一登录的接口拼到我们重置了超管的学校发现自动跳转到cas统一登录卡住跳转统一的请求包输入重置的超管的账号密码成功接管超管用户添加超管用户功能点抓包普通用户请求发现提升权限包没做鉴权可以直接提升任意用户为超级管理员通杀接管超管拿下其他学校超管用户一些简单的改id越权太多了就不再赘述了意外收获nacos继续跟同类型站点没想到在一个xx学院还跟到了nacos直接打历史漏洞历史漏洞太多了不再一一赘述拿到管理员密码cmd5解密 拿到密码admin123登录拿下 nacos意外收获envheapdumpnacos下还有env和heapdumpJDumpSpider解heapdumpjava -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump总的来说还是有一点收获的并不难跟js以及去跟指纹总会有一些意想不到的收获。申明本公众号所分享内容仅用于网络安全技术讨论切勿用于违法途径所有渗透都需获取授权违者后果自行承担与本号及作者无关请谨记守法.
