0x01 信息收集
個人覺得教育src的漏洞挖掘就不需要找真實IP了,我們直接進入正題,收集某大學的子域名,可以用oneforall,這裏給大家推薦一個在線查詢子域名的網站:https://www.virustotal.com/ 收集到的子域名還是蠻多的,主要是子域名直接就可以複製到txt文件,方便後續域名探針。這裏查詢到700多個子域名。
子域名探針,我用的是Finger,網上有相應文章介紹安裝,不再贅述,直接拿去跑,探針存活的站點
0x02 資產漏洞挖掘
我們需要對存活的站點進行查看,最嚴謹的做法是一一查看,找尋其中的漏洞,同時這樣也最消磨我們這種小白的耐心,這裏直接看Finger掃描輸出文件裏面的title,看是否帶着 “系統”、“平臺”、“登錄”等字眼,這些站點是最好出漏洞的地方,因爲他們往往存在登錄框,可測的東西就多了。
最終鎖定兩個系統站點
0x03 任意賬號密碼重置
國際學生在線申請系統:https://***..edu.cn/user/login?configId=&sign=
有註冊功能點就註冊,沒有就網上查詢是否有默認密碼進入,這裏很幸運,有註冊功能點,還不需要管理員審覈,直接註冊兩個賬號
賬號1:typ123/Typ123456. 賬號2:hhh123/Hhh123456.
登錄typ123這個賬號,進入系統,查找功能點,發現修改密碼處,不需要原密碼,感覺有洞可挖,直接BP抓包
BP請求響應包部分代碼如下:
token=Mjg5NjQ3&newPassword=Typ654321.&confirmPassword=Typ654321.
token值進行base64解碼,結果爲:289647
登錄hhh123賬號,記錄它的token值,有看沒有什麼規律
token=Mjg5NjQ2&newPassword=Hhh654321.&confirmPassword=Hhh654321.
解碼爲:289646
對比發現token值是按註冊順序逐一增大的
這裏嘗試將typ123的token值改爲hhh123的,測試發現,成功修改hhh123賬號的密碼,一個邏輯漏洞到手
0x04 任意用戶登錄
漢字全息資源應用系統:https://***.bnu.edu.cn/#/
這裏同樣註冊兩個賬號
賬號1:hhh123/hhh123456 賬號2:typ123/typ123456
【---- 幫助網安學習,以下所有學習資料免費領!領取資料加 we~@x:dctintin,備註 “開源中國” 獲取!】
① 網安學習成長路徑思維導圖
② 60 + 網安經典常用工具包
③ 100+SRC 漏洞分析報告
④ 150 + 網安攻防實戰技術電子書
⑤ 最權威 CISSP 認證考試指南 + 題庫
⑥ 超 1800 頁 CTF 實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP 客戶端安全檢測指南(安卓 + IOS)
登錄typ123賬號,測試內部功能點,都測了一下,沒有測出所以然,突然我想起之前看到的文章,抓登錄請求返回包,說幹就幹,果然,有不一樣的地方
{"code":200,"desc":"登陸成功!","result":"{\"token\":\"69565637941600f094864d0fcb4adbdd\",\"username\":\"typ123\",\"check\":\"0\",\"mail\":\"[email protected]\"}"}
這裏我試着改一改參數,看登錄有沒有區別,試了一下,修改username值,就可以登錄其他賬號,直接將username值typ123改爲hhh123
code":200,"desc":"登陸成功!","result":"{\"token\":\"69565637941600f094864d0fcb4adbdd\",\"username\":\"hhh123\",\"check\":\"0\",\"mail\":\"[email protected]\"}"}
成功,直接登錄
又一個邏輯漏洞到手
0x05 總結
邏輯漏洞挖掘主打一個BP抓包,看請求包和請求返回包,分析包的代碼,看有沒有可以利用的參數,更改參數,不斷嘗試,去測試所有功能點,就會有意想不到的結果。