奇安信攻防社区-记一次对学校某系统的黑盒测试到教育SRC

记一次对学校某系统的黑盒测试到教育SRC

学校最近上线了新的系统，听辅导员说省内很多高校都要求进行数据填报，遂尝试进行渗透。文笔不好，如有不妥之处敬请斧正！

##### 1.信息收集

Nmap和旁站收集无果，只开放了这一个端口，并且此站点是某公司进行独立开发，没有套用CMS，所以网上没有可以进行利用的Poc，已知系统为Linux。[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-3fcde05c28a121134d8825a9649ab1958e5554cf.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-3fcde05c28a121134d8825a9649ab1958e5554cf.jpg)

#### 2.格局打开

这里使用JSFinder工具对JS中的敏感路径进行扫描，JSFinder是一款用作快速在网站的js文件中提取URL，子域名的工具。下载地址：[我是下载地址](https://github.com/Threezh1/JSFinder "我是下载地址")  
使用方法：  
python JSFinder.py -u 这里写主地址，例如www.baidu.com

这里查看到了一个敏感的路径，访问后发现有鉴权，不登陆的情况下无法使用。[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-ebd01fdfd5fea30c815e67de2dc512e99e22fd96.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-ebd01fdfd5fea30c815e67de2dc512e99e22fd96.jpg)  
然后使用学号+弱密码123456进行登录，登陆后在数据提交部分发现文件上传部分，这里先上传一个正常的JPG，看看上传到了什么地方，没想到发现了一枚静态目录遍历，包含了大量学生及老师提交的数据，低危有了！[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-36df576a205731f01c7c40769c7564c97ad843dd.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-36df576a205731f01c7c40769c7564c97ad843dd.jpg)[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-b92cdcecd692084af0b7080bdbe16ac808104e5d.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-b92cdcecd692084af0b7080bdbe16ac808104e5d.jpg)[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-b7965ae9e34cf13acb459333a8c8774b58d09ab8.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-b7965ae9e34cf13acb459333a8c8774b58d09ab8.jpg)  
挖到低危肯定不满足，于是尝试一下其他功能，还记得在咱们没有登陆的时候，应用中心是有很多按钮的，但是当我们登录后，发现只有一部分选项可以点击，其他按钮都消失不见了，推断是做了权限校验[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-c6e916a54b2c25846584d917daa8022da49302f0.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-c6e916a54b2c25846584d917daa8022da49302f0.jpg)  
在前端寻找校验身份的地方，这个ROLE应该是代表身份。[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-548fb7369b0ca89b0a4df11e28e4e534fd923c8f.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-548fb7369b0ca89b0a4df11e28e4e534fd923c8f.jpg)  
这里刷新，发现可疑参数，当ROLE=1的时候，只会返回一部分数据过来，而当ROLE=4的时候，会返回很多东西过来。[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-bc7e66afc6106e37d4cd9be95241a69edb484726.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-bc7e66afc6106e37d4cd9be95241a69edb484726.jpg)[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-92d53fd495e7d99f7c718c5a2e5a2a1b605c5c55.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-92d53fd495e7d99f7c718c5a2e5a2a1b605c5c55.jpg)  
此处把ROLE改成4，发现一处管理中心，点进去，发现管理员账号是admin，同时用户隐私泄露。[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-082cd7e3db17cce2207b6e5d92816e218c251fcc.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-082cd7e3db17cce2207b6e5d92816e218c251fcc.jpg)[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-5da54a64b53bffeb1e0f8020a186dc03583fd41a.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-5da54a64b53bffeb1e0f8020a186dc03583fd41a.jpg)[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-2b320a749a6ae3ac164abddbbe64e1a8b7ffc3c3.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-2b320a749a6ae3ac164abddbbe64e1a8b7ffc3c3.jpg)

#### 3.柳暗花明

到此，已经拿到了一个低危和一个高危，可是依旧无法获得shell，也无法获得管理员权限，于是回到起点，此时已经知道管理员账号为Admin，找到忘记密码处。[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-7fe9872342eafbbd465a52233c97b8a7da1ceb1a.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-7fe9872342eafbbd465a52233c97b8a7da1ceb1a.jpg)  
这里先输入自己的邮箱，发现点击获取验证码后，会返回我们的学号，然后最上面一个是200，修改自己的密码时，做了加密处理，无法直接从Burp里输入Admin进行修改。这里我放上我绕过的办法：把返回的学号直接改成admin，然后当前端向后端进行密码修改请求的时候，会自动把这串数据进行加密，从而绕过。[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-5c9636bea7b0e206a83abdd5dd4932b06c3801b6.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-5c9636bea7b0e206a83abdd5dd4932b06c3801b6.jpg)[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-54ad7bd69c6f54d5676aa3a4112fc47d4686fb9a.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-54ad7bd69c6f54d5676aa3a4112fc47d4686fb9a.jpg)[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-b325b234bb72adabd98737373a033ffa3a1ca702.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-b325b234bb72adabd98737373a033ffa3a1ca702.jpg)  
成功越权修改管理员密码，然后来到后台页面，可以导出数据，同时对平台所有内容进行增删改查。[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-e713c62c8509ff79beab21c5cee958c2a4e314fb.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-e713c62c8509ff79beab21c5cee958c2a4e314fb.jpg)[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-2980c68b366d78a8f0df9b6fbba182d5e29f3cb9.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-2980c68b366d78a8f0df9b6fbba182d5e29f3cb9.jpg)[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-eb0e276ef4438b4c345c73c19a73a13f3ce9ee01.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-eb0e276ef4438b4c345c73c19a73a13f3ce9ee01.jpg)

#### 4.后记

通过fofa语法，搜索title="XX数据XX平台"，找到了几十个站点，直接打包一波进行提交，这波高危拿捏了。[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-b12f1d2629217ea706a77914b0bce74e0d81a11b.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-b12f1d2629217ea706a77914b0bce74e0d81a11b.jpg)[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-f9df0d97559f320dc18967a4c894fc2d84f4d80c.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-f9df0d97559f320dc18967a4c894fc2d84f4d80c.jpg)[![](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-ceb370560e85810432688808a6473715b6eb7d82.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/10/attach-ceb370560e85810432688808a6473715b6eb7d82.jpg)  
每一环都是环环相扣的，如果没有发现未登录和登陆后的功能不一样，也许就没有这一次通杀，提交后，厂商已对上述所有漏洞进行修复！

发表于 2021-11-05 09:28:02
阅读 ( 8567 )
分类：漏洞分析

5 条评论

JK1706 2021-11-12 11:25

为啥我想着文件上传的地方没有getshell呢

逐羽 2021-11-05 10:19

受益匪浅，感谢分享

Bronny 2021-11-05 10:22

来膜拜大佬了

用户不存在(已注销) 2021-12-28 16:11

tql

SyaHi 2022-08-18 16:56

你的邮箱为什么会在数据库里呢如果查询不到邮箱就不会返回200耶