记挖洞摸鱼的一天

弱密码提权

目标是北京**公司开发的在线实验仿真系统，经过搜索用户手册有弱密码admin/*******和jiaowu/*******存在

后台用的是CKEditor 4.5，各种地方的上传文件也都有检测

系统一

查找了一番后终于发现了突破口：

登陆后切换身份为教务，在课程库里新建或修改课程。点击最下方展开按钮，有许多上传实验辅助内容的地方。

这里选择上传帮助文档，因为看样子这里会自动帮我们解压。

打包一个zip，包含index.html和shell.jsp，上传。至于为什么是能确定是jsp，看下一节。

同时要在“虚拟实验插件”里上传任意文件，否则不会显示帮助文档链接。

上传后查看课程详细信息，点击实验帮助

打开了实验帮助，就能看到index.html里的内容了。

改url为shell.jsp即可连接

某些学校的WAF干脆拦了所有.jsp网页的访问，不过还好可以用shell.jspx

系统二

在查找目标的时候，发现还有一种新一点的系统。里面UI和模块名称变了，但大体思路没变

在右上角菜单里选择资源共享，然后在左侧左侧添加资源

资源类型：基本zip包；资源文件：resource.zip；资源插件：任意exe

打包好resource.zip，包含一个resource文件夹，文件夹内是index.html和shell.jsp和main.Unity3d

提交后左侧在资源列表，查看新建的资源，点开始实验。之后试验台下方就会iframe到解压的资源地址

改url为shell.jsp，即可连接

Session泄露

后台闲逛的时候，看到了系统运行监控页面，明显的iframe。就是在这里确定的java环境。

进Session监控，发现可以直接偷别人的session放到JSESSION里用。

把URL复制到隐私窗口，照样能访问。似乎较旧版本系统程序自带的Druid Monitor没有设置访问权限，导致session泄露。

总结

漏洞已上报edusrc。第一次和WDLJT大规模挖洞，虽然有点累但挺开心的。