记一次EDU运气加成的高危漏洞挖掘

原文链接:freebuf社区 https://www.freebuf.com/vuls/399938.html 新手小白在FreeBuf的第一篇文章，喷的时候轻点哈，作为小白，这个洞有很大的运气加成的。 一、五一闲来无事（我真不想出去玩），找个edu站看了一下 现在挖web的已经很少了，基本都去挖小程序了，像我这种小白只能捡别人挖剩下的。 功夫不负有心人，看到这个系统有个注册的地方，看到这里还是要尝试一下的。 好家伙，这里可能不允许注册了，验证码愣是等了2分钟没等到。 不过也没关系，注册不了用户就去登录页面，看看有没有什么逻辑漏洞，认证缺陷之类的。 登录的时候发现是没有admin这个用户的，应该是用户名有限制≥6位 其实遇到这种情况，大家可以看看前端js有没有信息泄露什么的，比如在js里搜索 auth、token、password这些信息，有些敏感信息是泄露在js的，如果能找到的话，可以省很多事。 F12 真的是一个好习惯。 果然，我太菜了，这里没找到。 不管了，点击登录打开burp 抓包看看 查看一下相应包，有个401。 没准有戏，把http：401 改成200，code：401，改成code：200果然！ 果然行不通，就进去了一瞬间，还没爽就出来了。 不过不要灰心，下面就是运气加成的高光时刻！ 虽然没有登陆成功，但是通过burp可以抓到好多接口的信息，于是挨个看了下信息内容！这个接口是泄露了一些管理员用户的。 于是把typeID=1 ，修改成typeid=0，相信大家看到这些参数都会试试，没准有什么意外惊喜， 就好比我这次，这下把所有管理员和用户的 账号全泄露了，不过这样交上去肯定也没啥用的。 泄露用户名不算危害，能利用到，才算危害。 秉着试一试的运气，一不小心试出一堆弱口令 弱口令就甘心交上去吗?肯定不行呀，于是进了系统看看，发现了一堆用户的信息。 进入到系统之后，肯定所有的功能都要点一点的，于是找到了一个修改个人资料的页面，尝试一下看不能越权。 手机号改成66666666666 然后点击保存，看看burp上的数据包 这里把userid 改成其它管理员的userid，看了一下响应码，成功了。 下面就是验证了。 修改成功。 到这里又看了其它功能点，没什么可利用的地方，找了一个更换头像的点试了一下文件上传，可惜没解析，尝试了其他办法也不行。 至此挖掘过程结束。 大家做测试的时候在不造成恶意影响的同时也要保护好自己，主打适可而止。 以上相关测试信息测试完成后均已恢复，漏洞均已报告给相应学校且已修复。 文章来源：freebuf 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END