1. 寻找资产
在进行edu漏洞挖掘的时候,我们常常遇到统一认证平台,账号是学号,密码是身份证后6位(甚至是更复杂的密码),同时找到这两者的几率很小,所以我们把关注点放在微信小程序中,因为微信小程序存在一键授权登录,不需要本校学生的学号和密码(小部分),这里我们找学校的小程序,直接搜索大学,职业学院等字样
2. 开始渗透
随便点进去一个来,手机号一键登录,这里一键登录可能存在泄露session_key,可以造成账号接管的风险,我的前几篇文章写过session_key泄露利用方式,师傅们可以去了解一下,话不多说,回到正题,功能点都点一点,看到一个身份证的功能点
这里观察数据包,可以看到只有我的手机号,因为我没有实名认证
骚思路1
仔细观察数据包,原路径是这样的,猜测开发人员的思路,在后面添加/list,可能存在
-
原路径 -
/prod-api/system/info/small/userId -
修改后的路径 -
/prod-api/system/info/small/userId/list
修改后的返回包
可以看到并没有,这个这个路径,那这样就放弃了吗?显然是不可能的,删除前面的路径,当删到info时,直接回显了,其他人的实名认证的信息,而idPhoto,就是sfz存在的地址,太敏感所以这里不放出来了
-
/prod-api/system/info/list
骚思路2
默认只有10条信息,想要获取更多的数据信息,观察其他的数据包,发现他们控制输出内容的参数是?pageNum=1&pageSize=100,直接拼接
就得到了大量的sfz信息和手机号
骚思路3
继续思考,将info改为user,发现显示管理员的信息
-
/prod-api/system/user/list
更多网络安全优质免费学习资料与干货教程加
送渗透工具、技术文档、书籍,面试题、视频(基础到进阶。环境搭建,HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)、应急响应笔记、学习路线。
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
