0x1.前言
本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。文中涉及漏洞均以提交至教育漏洞平台,现已修复。
0x2.背景
本人从9月10号开始挖掘教育网的漏洞,截至到10月10号已经上了一百多分,其中还挖掘到了多个证书站的漏洞。
然后经过有师傅提醒,说某某985证书快要上线了,我看了一下漏洞提交的还不算太多,这不赶紧抓住机会上分一波?从清楚目标到挖出漏洞不到一天(主打一个快速挖掘),于是就有了这篇文章。
0x3.信息搜集
渗透测试的第一要义是信息搜集,你能搜集到别人搜集不到的信息,你就能挖到别人挖不到的漏洞
这里推荐我使用的一个集成工具:oneforall
,工具地址:https://github.com/shmilylty/OneForAll
然后收集到大量资产后,我会先初步使用httpx
对一些路径进行快速批量探测:
httpx
工具地址:https://github.com/projectdiscovery/httpx
httpx.exe -path /api/users -l target.txt -title -tech-detect -status-code -threads 50 -web-server -mc 200
这里将你搜集的资产的链接放在target.txt
中
-
-path /api/users
: 这是目标URL的路径,其中/api/users表示要测试的API端点的路径。 -
-title
: 此选项指示工具在输出中包括目标网页的标题。 -
-tech-detect
: 这个选项告诉工具进行技术检测,它将尝试识别目标URL上运行的Web服务器和后端技术。 -
-status-code
: 此选项要求工具返回每个请求的HTTP响应状态代码。 -
-threads 50
: 这个选项指定了并行执行的线程数,工具将使用50个线程同时测试目标URL。 -
-web-server
: 此选项告诉工具输出目标URL上运行的Web服务器的信息。它可以显示服务器类型和版本等信息。 -
-mc 200
: 这是一个过滤选项,它指定了匹配响应状态码的条件。在这里,-mc 200
表示只输出具有HTTP响应状态码为200的结果。
然后经过初步信息搜集后我锁定了某个可疑站点因为可疑直接注册,于是开始着手渗透。
0x4.渗透利用
漏洞点1–未授权访问
测了一下注册点逻辑,利用不了遂放弃进入后台。
帮助网安学习,全套资料S信免费领取:
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
然后我进入了个人后台,我发现了有数据申请的功能于是着手开测:
遇到上传点,我们测一测!
嗯?没有过滤吗?直接传上shell了?但是Burp抓包查看返回也没有留下上传路径遂作罢。
然后我点击了下载模板
按钮抓包如下:
https://xxx.edu.cn/xxx/xxx/download/161
我的直觉告诉我这个链接非常可疑!
我这里直接改成其他数字,啪!直接把别人上传的隐私文件下载下来了!
通过burp快速探测我发现数字为 157 —293都可以下载文件,也就是说泄露了快150个敏感文件。如果不修复这个漏洞的话,后面不管谁上传的文件都可能被任意下载。
还有多个学生证照片/教工证照片/内部信息文件等敏感信息。好嘞初步rank到手!
这里就可以解释一下我上传shell了但是却连接不上:
访问对应的链接发现:
Content-Disposition
是 HTTP 头字段之一,它通常用于指定如何处理由服务器返回的响应内容。
这里这个头的意思是告诉客户端浏览器,响应的内容应被视为附件(文件下载),而不是在浏览器中直接显示。我尝试绕过也没有成功,也就是说文件直接没有解析了所以getshell方面我就作罢了。
为了确保能上中危,我决定再继续测一点功能。
漏洞点2–水平越权
注册两个账户
截取POST包:
回显成功:
通过这样可以让任意申请进行提前提交。
0x5.总结
总的来说信息搜集非常重要,同时细心也非常重要。不要因为某个点没测成功就放弃了,可以多去尝试尝试其他的地方。而且想要快速出成果的话最好去找那种可以任意注册的站~