记一次校内站点的漏洞挖掘测试_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

记一次校内站点的漏洞挖掘测试

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


记一次校内站点的漏洞挖掘测试

0x00 前言 这次渗透的对象是一个校内的获奖提交申报平台。不知道什么原因,这个站点未接入深信服waf,所以这次渗透过程异常轻松。 0x01 越权 首先使用功能点添加一次申报 点击编辑,抓包 可以看到是使用id控制返回的数据的 服务端没有进行鉴权,修改id可返回其他用户的数据 其他接口也是一样 越权修改 越权删除 0x02 任意文件上传 还是在提交申报那里,添加文件,抓包 并没有返回文件路径,但返回了id,所以要配合刚才的越权接口使用 成功解析 0x03 任意文件下载 在刚才的viewPage接口返回的数据里,可以看到调用了名为downloadFile的js函数 我们看下源码 盲猜这里可以进行目录跨越,fileName就是文件名,fileType就是文件后缀,还不清楚后缀是不是白名单 先随便传个参看看 好家伙,太贴心了,没有任何限制还直接把当前目录都返回出来,构造一下 0x04 任意权限的用户添加 在翻看数据包的时候,发现接口的命名都非常有规律,比如: addPage就是刚才内联框架所使用的HTML文件,里面不仅包含了相关的接口,还包含了表单的字段名 并且接口名称studentward、role、resource、counsellor都是跟功能相关的英文,非常好猜 构造administrator、organization、controller等名称,或者拿本英汉大字典跑也行,最后Fuzz出来了user /user/addPage 如下:

可以看到你不会填的都给你提供相关接口查询,比如userAddRoleIds提供/role/tree接口 最后直接构造数据包 结束 文章来源:先知社区(John)原文地址:https://xz.aliyun.com/t/1239排版:潇湘信安 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END

记一次校内站点的漏洞挖掘测试