前言:*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担
事情的起因是这样的,在某一天我用谷歌做信息收集的时候:inurl:xxx.edu.cn pdf,突然查找到这样一份pdf文件,看完整个人都笑出了花,有位同学转专业,被学校调剂错了,然后被公示出来,学号和sfz都泄露了。
接着我就好心的找了一下他们学校的统一登陆的地方,发现初始登陆的密码是sfz的后六位。
直接登陆成功了,真是我的好兄弟啊。
进入之后发现,只有日常事务这一个模块能登陆进去,先进去看看的。
进入之后测了很多地方,sql注入,文件上传之类的漏洞是统统没有啊,还有很多应用居然没有权限,但是她提醒我没有权限这一点,让我想到,会不会有未授权,但是抓包测试半天都没有成功。
但是好在天无绝人之路,我突然看到一个功能点,反馈这个功能点。
输入了一些内容之后,抓取数据包看了一下。
POST /api/apps/feedback HTTP/1.1
Host: xxx.xxx.xxx:80
Content-Length: 79
Accept: application/json, text/plain, /
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36 Edg/110.0.1587.41
Content-Type: application/json;charset=UTF-8
Origin: http://xxx.xxx.xxx:80
Referer: http://xxx.xxx.xxx:80/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6,ko;q=0.5,zh-TW;q=0.4
Cookie: sid=7e670c0c-9529-4a1b-87b6-6c6aec4edbc1
Connection: close
{"jybh":"d997E5ee-17B6-6C9A-13c1-83EAFE09F831","bt":"1","yddh":"11","jynr":"1"}
是这样一个数据包,也没有注入点之类的,感觉没啥东西啊,想着就把/api/apps/feedback这个直接拼接到url上看看,因为看到api就会让人想到信息泄露之类的。拼接上去之后,告诉我缺少pageNum这个参数,我把这个参数拼接上去。
结果又告诉我缺少pageSize这个参数。
全部拼接上去之后发现,是一条学生的信息。
改变这个pageNum和pageSize后面数字的大小可以看到更多信息,但是只有几个学生有反馈问题,得到的信息泄露少之又少,就只要这么一点点,够谁吃啊,再来一罐,一人一罐(刘德华bushi)。
虽然说挖到这样一个漏洞,但是毫无作用啊,感觉到有些挫败的时候,突然想到,这个信息泄露肯定是整个系统的问题,找一个学生信息多的地方,拼接url,看看能不能泄露的更多。
直接找到个人信息这一块,编辑然后抓包看一下。
观察一下我抓到的这个数据包,首先我想到上面拼接语句的时候,是直接url发送数据的,所以请求方法应该是GET,并且我之前请求的时候是没有body这个部分的,所以body也要删除,然后拼接上pageNum和pageSize这两个参数。
POST /api/base/user/basic/update HTTP/1.1
Host: xxx.xxx.xxx:80
Content-Length: 748
Accept: application/json, text/plain, /
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36 Edg/110.0.1587.41
Content-Type: application/json;charset=UTF-8
Origin: http://xxx.xxx.xxx:80
Referer: http://xxx.xxx.xxx:80/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6,ko;q=0.5,zh-TW;q=0.4
Cookie: sid=7e670c0c-9529-4a1b-87b6-6c6aec4edbc1
Connection: close
{"yhbh":"xxxxxxxxxxxx","xm":"xxx","nc":"1","zt":"0","pxh":0,"yddh":"189xxxxxxx","dzyx":"xxxxxxxxxxxx","qq":null,"wechatUnion":null,"wechatOpenid":null,"salt":"test","xbm":"1","yhlx":"0","tx":"xxxxxxxxxxxx_avatar","pf":"defaultSkin","bmmc":"19xx1","bmbh":"xxxxxxxxxxxx","jzbmbh":[],"yhjs":["XS"],"positionIds":null,"userLog":{"bh":"7d83f326-7cee-4ad4-b242-17faef9fdc90","yhbh":"xxxxxxxxxxxx","dlsj":"2023-02-12 23:12:40","tcsj":"2023-02-13 11:22:25","khdczxt":"Windows","khdllq":"Chrome-110.0.0.0","khdipdz":"117.92.247.178","khdlx":"PC"},"gwbh":[],"gwmc":[],"sfzjh":null,"personalSkin":null,"personalSkinThum":null,"value":null,"id":"xxxxxxxxxxxx","nickname":"1","phone":"18xxxxxx","email":"20xxxxxxxxxxxx4@xxx.edu.cn"}
但是我修改后发现请求失败了,告诉我没有权限。
感觉好像还是有地方差点意思,发现直接语句的后面只拼接了三个目录,那我尝试也只拼接三个目录试试呢。
终于这一次出现了别的学生信息,这里的话可能是五层目录没有权限,但是三层目录有权限,导致了信息泄露。
然后我修改pageNum和pageSize这两个参数的大小,结果测试后pageNum=1,2,3,4,5和pageSize=1000的时候,分别泄露不同的一千个人的信息,pageNum后面的数字超过5之后,就没有信息了(这个学校的学生可能就这么多了)。并且pageSize后面的数值太大会造成超时。
所以我成功获取了全校四千多名学生的姓名、班级、学号、邮箱、sfz等信息(厚码码死谢谢)
最后提交edusrc,做一个守法公民。
1、肯定还是要做好信息收集,有的时候获得了账号比没有账号好出漏洞。
2、挖漏洞的时候一定要坚持住,这套系统我来回测了好几遍才出来这个漏洞,有的时候坚持也很重要。
3、看到有api的时候,就尝试去拼接一下,很多时候就会出现一些其他功能点,或者信息的泄露。
原网址: 访问
创建于: 2023-05-31 16:20:53
目录: default
标签: 无
未标明原创文章均为采集,版权归作者所有,转载无需和我联系,请注明原出处,南摩阿彌陀佛,知识,不只知道,要得到
java windows火焰图_mob64ca12ec8020的技术博客_51CTO博客 - 在windows下不可行,不知道作者是怎样搞的 监听SpringBoot 服务启动成功事件并打印信息_监听springboot启动完毕-CSDN博客 SpringBoot中就绪探针和存活探针_management.endpoint.health.probes.enabled-CSDN博客 u2u转换板 - 嘉立创EDA开源硬件平台 Spring Boot 项目的轻量级 HTTP 客户端 retrofit 框架,快来试试它!_Java精选-CSDN博客 手把手教你打造一套最牛的知识笔记管理系统! - 知乎 - 想法有重合-理论可参考 安宇雨 闲鱼 机械键盘 客制化 开贴记录 文本 linux 使用find命令查找包含某字符串的文件_beijihukk的博客-CSDN博客_find 查找字符串 ---- mac 也适用 安宇雨 打字音 记录集合 B站 bilibili 自行搭建 开坑 真正的客制化 安宇雨 黑苹果开坑 查找工具包maven pom 引用地 工具网站 Dantelis 介绍的玩轴入坑攻略 --- 关于轴的一些说法 --- 非官方 ---- 心得而已 --- 长期开坑更新 [本人问题][新开坑位]关于自动化测试的工具与平台应用 机械键盘 开团 网站记录 -- 能做一个收集的程序就好了 不过现在没时间 -- 信息大多是在群里发的 - 你要让垃圾佬 都去一个地方看难度也是很大的 精神支柱 [超级前台]sprinbboot maven superdesk-app 记录 [信息有用] [环境准备] [基本完成] [sebp/elk] 给已创建的Docker容器增加新的端口映射 - qq_30599553的博客 - CSDN博客 [正在研究] Elasticsearch, Logstash, Kibana (ELK) Docker image documentation elasticsearch centos 安装记录 及 启动手记 正式服务器 39 elasticsearch 问题合集 不断更新 6.1.1 | 6.5.1 两个版本 博客程序 - 测试 - bug记录 等等问题 laravel的启动过程解析 - lpfuture - 博客园 OAuth2 Server PHP 用 Laravel 搭建带 OAuth2 验证的 RESTful 服务 | Laravel China 社区 - 高品质的 Laravel 和 PHP 开发者社区 利用Laravel 搭建oauth2 API接口 附 Unauthenticated 解决办法 - 煮茶的博客 - SegmentFault 思否 使用 OAuth2-Server-php 搭建 OAuth2 Server - 午时的海 - 博客园 基于PHP构建OAuth 2.0 服务端 认证平台 - Endv - 博客园 Laravel 的 Artisan 命令行工具 Laravel 的文件系统和云存储功能集成 浅谈Chromium中的设计模式--终--Observer模式 浅谈Chromium中的设计模式--二--pre/post和Delegate模式 浅谈Chromium中的设计模式--一--Chromium中模块分层和进程模型 DeepMind 4 Hacking Yourself README.md update 20211011
Laravel China 简书 知乎 博客园 CSDN博客 开源中国 Go Further Ryan是菜鸟 | LNMP技术栈笔记 云栖社区-阿里云 Netflix技术博客 Techie Delight Linkedin技术博客 Dropbox技术博客 Facebook技术博客 淘宝中间件团队 美团技术博客 360技术博客 古巷博客 - 一个专注于分享的不正常博客 软件测试知识传播 - 测试窝 有赞技术团队 阮一峰 语雀 静觅丨崔庆才的个人博客 软件测试从业者综合能力提升 - isTester IBM Java 开发 使用开放 Java 生态系统开发现代应用程序 pengdai 一个强大的博主 HTML5资源教程 | 分享HTML5开发资源和开发教程 蘑菇博客 - 专注于技术分享的博客平台 个人博客-leapMie 流星007 CSDN博客 - 舍其小伙伴 稀土掘金 Go 技术论坛 | Golang / Go 语言中国知识社区
最新评论