首页 > 极客资料 博客日记

EDUSRC | 记录几张edusrc证书站挖掘

2024-10-26 15:30:02极客资料围观14

极客之家推荐EDUSRC | 记录几张edusrc证书站挖掘这篇文章给大家,欢迎收藏极客之家享受知识的乐趣

在web资产挖证书站是比较难的,尤其是没有账号密码进入后台或者统一的情况下,于是便转变思路,重点放在信息收集,收集偏远资产上。

一、XX大学 srping actuator未授权
茫茫c段,找到这么一处资产

一个大学的课题组,有的人可能看到就放弃了,但他使用的不是静态的组件,指纹识别如下,可以试试

对目录进行扫描,探测出/xx-api,便对/xx-api进行fuzz,探测到/xx-api/actuator

这里heapdump是下载不了的,试了好多方法都不行,这个时候提交漏洞最多的低危1rank或者危害不足,便把注意力放在了env这个接口上
找到了xxl-job-admin的接口,这个接口不在原本的域名下,直接找很难找到

通过默认密码直接进入

后续就是通过历史漏洞命令执行,成功拿下高危漏洞

二、XX大学 换种姿势密码喷洒

admin弱口令、逻辑缺陷尝试无果,但看到可以通过邮箱登入,便有了下面的思路
通过忘记密码功能,让对方发邮件到我们这,对方发送邮件的账号很可能就是管理员或者教师账号
获取到邮箱

通过此邮箱进行密码喷洒成功登入

下方可查看大量学生敏感信息
此时已经收获了一个中危漏洞了,但兑换证书需要两个中危起步,只能继续看看
查看学生信息的地方可以看到一个GET请求,一般这个请求存在未授权访问/垂直越权的情况很大

退出账号,直接访问这个url,可以直接查看学生敏感信息,直接垂直越权,中危+1,拿到证书

三、XX大学 水平越权
找到一个注册功能的系统,来到企业信息处,点击信息修改抓包

看到一个id值,把id修改成其他人的值,返回也是200

找到注册地方,验证一下,发现多了几处一样的信息,验证了水平越权,也可以注册两个号来验证

这个站很多地方都有userid,companyid字样,其他接口修改id传参返回包会提示越权操作,猜测就是存在越权漏洞被修复的,就尝试继续找越权点,中危证书+1

四、XX大学 nb的任意用户密码重置
证书站有的时候比的就是眼疾手快,下面直接展示
前台忘记密码功能

直接输入用户名和密码就能重置

直接修改成功

高危证书+1,比的就是眼疾手快,通过自己偏远资产定位的语法,从发布此新证书到提交此漏洞只用了不到5分钟。


版权声明:本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:jacktools123@163.com进行投诉反馈,一经查实,立即删除!

标签:

相关文章

本站推荐

标签云