记一次教育src挖洞历程

0x00前言

大家好 我是Maosn 一个专注于在各种大佬之间摸鱼的硬核咸鱼

我又回来啦(我特嘛来辣)

难得有时间来和各位一起学习

话不多说 整活!

Ps:存货文章未深挖

0x01故事的开始

今天闲来无事看见教育src群里的大佬们都在秀自己的证书

就心想什么时候也能拥有自己的证书

说干就干,打开edu src,找到一个自己喜欢的证书

向着目标 开整!

目标站:https://www.xxxx.edu.cn/

找到以这个招聘系统

可见这个系统可以注册进去看看

0x02 无用的文件上传

登录后可发现有一个简历管理,应该会有上传点

建立一个简历发现有个证书管理

测试图片可以成功上传

改为jsp文件同可上传成功

但是发现文件地址应该是启用通过文件系统调用了

只可以下载 (O 漏!!!)

这个点无果,不出所料的未通过

0x03 “信息泄露”

没有收获但不是完全没有收获,在抓包是发现了一处参数

漏洞地址:https://job.XXXX.edu.cn/base/hr/a.do?action=list&entityId=FM_MODULE&FM_SYS_ID=XXXX

泄露招聘后台所有功能ID可调用

可见操作日志id为 42

我们在招聘系统后台构造包

或者点击任意功能修改id字段

 GET /base/hr/a.do?action=list&entityId=FM_MODULE&FM_SYS_ID=XXXX&search.ID=42&_=1621843296198 
 HTTP/1.1 Host: job.XXXX.edu.cn 
 Connection: keep-alive Accept: application/json, text/javascript, */*; q=0.01 
 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36 
 X-Requested-With: XMLHttpRequest 
 Sec-Fetch-Site: same-origin 
 Sec-Fetch-Mode: cors 
 Sec-Fetch-Dest: empty 
 Referer: https://job.XXXXX.edu.cn/base/frame/main.jsp?FM_SYS_ID=XXXXXX&FM_SYS_CODE=SYSTEM_RECRUIT 
 Accept-Encoding: gzip, deflate, br 
 Accept-Language: zh-CN,zh;q=0.9,fr;q=0.8,en;q=0.7 
 Cookie: JSESSIONID=5E58100228F66E8D59AEEEDED4EB45D8; JSESSIONID=5E58100228F66E8D59AEEEDED4EB45D8

将search.ID的值修改为想要功能的id

这里看一下操作日志

{"ORDER_NUM":"4","META":"T_RECRUIT_POST","MAIN_PAGE":"1521","OPEN_TYPE":"3","ID":"1320","UP_ID":"1313","NAME":"已发布职位"}

再次提交,好耶

0x04 后言

之后又发现其他使用这个系统的大学,成功拿下两张证书,双倍好耶

写在最后:

小白做测试的时候千万不要放过任何细节,以为任何一个细节就有可能会带领你少走很多弯路,直达目标。

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇