实战|记一次校内站点的渗透测试

前言 这次渗透的对象是一个校内的获奖提交申报平台。不知道什么原因，这个站点未接入深信服waf，所以这次渗透过程异常轻松。 0x01 越权 首先使用功能点添加一次申报 点击编辑，抓包 可以看到是使用id控制返回的数据的 服务端没有进行鉴权，修改id可返回其他用户的数据 其他接口也是一样 越权修改 越权删除 0x02 任意文件上传 还是在提交申报那里，添加文件，抓包 并没有返回文件路径，但返回了id，所以要配合刚才的越权接口使用 成功解析 0x03 任意文件下载 在刚才的viewPage接口返回的数据里，可以看到调用了名为downloadFile的js函数 我们看下源码 盲猜这里可以进行目录跨越，fileName就是文件名，fileType就是文件后缀，还不清楚后缀是不是白名单 先随便传个参看看 好家伙，太贴心了，没有任何限制还直接把当前目录都返回出来 构造一下 0x04 任意权限的用户添加 在翻看数据包的时候，发现接口的命名都非常有规律 比如： addPage就是刚才内联框架所使用的HTML文件，里面不仅包含了相关的接口，还包含了表单的字段名 并且接口名称studentward、role、resource、counsellor都是跟功能相关的英文，非常好猜 构造administrator、organization、controller等名称，或者拿本英汉大字典跑也行 最后Fuzz出来了user /user/addPage 如下：

可以看到你不会填的都给你提供相关接口查询，比如userAddRoleIds提供/role/tree接口 最后直接构造数据包 结束 文章来源：作者：John 来源：https://xz.aliyun.com/t/12391 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END