💗想加内部圈子，请联系我！
💗文章交流，请联系我！

🍬 博主介绍
👨‍🎓 博主介绍：大家好，我是 hacker-routing ，很高兴认识大家~
✨主攻领域：【渗透领域】【应急响应】 【edusrc漏洞挖掘】 【VulnHub靶场复现】【面试分析】
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋

🍬 博主资源
🎉需要如下资料和培训的可加微信和知识星球(前50名为邀请嘉宾) 知识星球号：9081196🎉
1、全国职业技能大赛——信息安全管理与评估WP+环境
2、全国职业技能大赛——司法技术赛项WP+环境
3、CTF最新资料+相关工具(圈子交流)
4、SRC漏洞挖掘的大量原创报告

0x1 前言

这是我第一次写漏洞分享的文章，主要是最近跟着几个厉害的师傅一起学习，挖了几个比较简单的漏洞，今天拿出来给大家分享下（大佬勿喷啊）。
这里我是有目的地去对某机构或者某学校进行渗透测试漏洞挖掘的，之前在网上看到很多文章说可以直接去edusrc官网的漏洞排行榜上去找，可以去看一些开发商排行榜以及某些高校大学的排行榜，里面有很多的该公司或者该学校的漏洞提交情况以及修补情况。

0x2 信息收集/资产测绘

就比如说可以去找一些修复率不是很高的开发商去挖，

然后多去找找该开发商的一些资产，特别是哪些学校使用了该系统的资产，可以使用空间引擎，FOFA、鹰图等，还可以使用一些企业查询的网站，比如企查查、爱企查等免费的在线查询网站。

比如下面的使用空间引擎FOFA进行检索相关企业的系统信息，然后去找相关漏洞，比如常打的nday

下面就是使用爱企查进行的查询，里面一看就是学校使用的一些系统，然后再挨个进行信息收集，多使用网上的资源，搞不好就打了个通杀呢

0x3 渗透测试/漏洞挖掘

下面这几个edusrc漏洞都已经成功提交，且都已经通过了

我开始是先通过弱口令登录进去的，然后不甘于只提交一个弱口令，就想着在里面多测下，提高危害，多那几个rank值。
下面我就拿一个案例来复现，然后给师傅们分享下思路吧，这也算是一个中危漏洞的通杀了，感兴趣的师傅们可以尝试打一打哈！

可以看到先通过弱口令进去的，泄露了好几千条学生、老师的信息

这里这个漏洞就是session会话固定不过期
这是我们开始利用admin:admin888登录成功的cookie值，下面我们修改下密码，然后再登录看看cookie有没有改变

修改密码为admin666，但是可以通过对比下发现cookie值并没有发生改变，admin管理员cookie如下：

Cookie: thinkphp_show_page_trace=0|0; PHPSESSID=8f00d7c83c621327b25224babf288713; admin_username=admin

那session会话固定不过期的话，那么我们就可以把里面某个功能点的数据包保存，就算是学校把该密码改了，我们还是可以进行数据修改，或者保留密码修改的数据包，因为cookie值是一直不变的。

就比如下面的这个，我是改密码前（admin888）的时候保存的数据包，现在照样可以使用，因为这个cookie值一直不变。

然后我们还可以使用这个数据包进行创建用户，而且还创建成功了

下面修改admin管理员账号密码的数据包也可以一直使用，

哪怕是以后修改了密码，禁用了弱口令，只要cookie值不变，我们还是可以进行利用。

0x4 总结

上面的漏洞思路也不算太难，主要是开始通过弱口令进去的后台，然后再通过后台里面的功能点去测试，多使用bp抓包，多看数据包，很多时候数据包里面可以发现很多意想不到的东西。这个漏洞也算是个通杀漏洞了，感兴趣的师傅们可以尝试玩下。