记一次“抢证书”的edusrc漏洞挖掘

许多朋友来问我,是怎么挖edusrc的,感觉高校漏洞报送证书真的好香,也想嫖一个。这里我借用大佬WDLJT的wp来写一写自己挖edu时的思路。以这次“南昌起义”为例子,给大家分享一下此次毫无技术含量的211高校—南昌大学 漏洞挖掘历程。

2021-11-19 19:30,edusrc平台面向2000余名白帽子,正式上架了南昌大学漏洞报送证书20份,是的,你没有看错,2000多人,20本证书………卷,就硬卷好吧(下面放图给出证书详情以及兑换要求)

虽然知道可能抢不过群里的那些大佬,可是还是要试一下,毕竟一个还没有被大规模挖掘过的学校,找到漏洞的概率还是比较大的。而南昌大学作为一所211,敢上架证书,我估计那些比较明显的漏洞、系统的弱口令等等,基本在上架前就已经被他们自己的网络中心修复了。

所以我知道自己运气没有那么好,刚好能碰上某个系统的弱口令,于是转而去看看有无其他漏洞挖掘点。首先进入他们的一卡通中心,因为之前上海交通大学的中危漏洞,就是从一卡通系统打入进去的(已报送相关单位并修复)。

但是这里我们看到,该校的一卡通充值服务等,居然是托管到了中国建设银行????那就再见了(本人还没有那技术去打中国建设银行),另外发现其一卡通硬件设施是由新开普电子集团开发的,应该有洞,无奈没爬出其后台,所以只能放弃一卡通这条路。

转而想想其他路,之前我通过xxxxxxx公司的采购平台、国有资产全生命周期平台等系统刷过edusrc的屏,也拿到了南开大学、东南大学等高校的高中低危漏洞( 已报送相关单位并修复 )。想到这里,马上去看看南昌大学的国资处,是不是也是该公司的同一套系统产品架构。

江西宁伟科技有限公司?好,再见。啥公司,没听说过,先拿小本本记下来,日后再来挖挖这个公司的漏洞。正准备离开的时候,却发现了这个国资处有一些有趣的登陆点,但是几乎都是基于统一身份认证登陆的,除非找到开发公司的0day,否则很难渗透进去(社工的当我没说)。

直到一个“xxxxx系统”的二维码出现,又让我有了一丝希望。迅速扫码,得到如下界面

看到工号,上谷歌语法:site:ncu.edu.cn filetype:xls intext:工号 + burpsuit,嗦到大量教师职工号,输入之后成功进入绑定界面

接下来便是关键点了,可以看到,输入职工号后,这个绑定数据界面自动填充了工号对应的教师姓名、手机号、工作单位等,此时对url末尾传递的参数(其实就是职工号进行POST明文传参,是真的傻)直接进行修改,可以得到所有教师对应的信息。但是因为没有敏感信息,这样交上去也会因为“ 危害不足 ”被驳回。所以继续挖掘,看到有验证码,且已经填充了该教师的手机号码,果断使用burpsuit拦截流量包,看是否有验证码劫持漏洞。

可以看到burpsuit拦截的数据包里面,参数“phone”居然又是明文传输,且后面没有添加&验证身份。顿时感觉有戏,马上修改value等于自己的电话号码,然后forward放走数据包。

成功拦截下验证码到我自己的手机,输入验证码,成功绑定!!!!(开发这个网站的程序员真的可以回炉了,前后端都没有进行验证码和身份的匹配认证)

成功登陆后,发现文件上传点。

不用多说,常规思路:上传木马,getshell。

先随便上传一张图片,测试有无返回路径,不然后期上传木马后也无法连接。这里忘记截图了,不过是成功得到了返回路径,但是到这一步,我发现了一个有趣的东西,越权!我点开我刚刚上传的文件详情,得到一个URL:http://*.ncu.edu.cn/index.php/******/******/*****/198.html

末尾参数“198.html”是真的就离谱,修改数字,可以发现跳转成了仅有1970-01-01 8:00字段的页面。这个时间点学计算机的人应该都会很敏感,这是Unix时间戳(转换为北京时间),是现代计算机的基准时间。此处是因为数据库字段datetime类型的值,在页面输出时为假,便会出现该bug,但是我们可以看到,这里确实可以与后端数据库进行交互。

于是直接遍历末尾参数,成功越权到其他账户上传的文件详情!

如此一来,这个越权漏洞直接导致各种敏感信息、内部文件的泄露,危害等级已经是中危起步。既然是为了抢证书,我便马上整理提交到了平台,之前的那个文件上传点稍后再进行测试。

审核老师也很快进行了审核并通过,孩子在还剩8本证书的时候成功兑换!!!

然后昨天的时候,想回过头去看看文件上传点,能不能getshell刷个高危,却发现网站已经………

嗯,南昌大学网络中心动作真快,有洞马上就down掉了,不过这么……的网站,猜测文件上传漏洞估计能行。算了,反正证书已经到手了,哈哈哈哈

以上便是此次漏洞挖掘渗透的全过程。整个流程没有写一段代码、一个payload,就真无脑挖洞………

发表评论