记一次“抢证书”的edusrc漏洞挖掘

NSSCYCTFER • 2021-11-22 • SRC • 2155 阅读

许多朋友来问我，是怎么挖edusrc的，感觉高校漏洞报送证书真的好香，也想嫖一个。这里我借用大佬WDLJT的wp来写一写自己挖edu时的思路。以这次“南昌起义”为例子，给大家分享一下此次毫无技术含量的211高校—南昌大学漏洞挖掘历程。

2021-11-19 19:30，edusrc平台面向2000余名白帽子，正式上架了南昌大学漏洞报送证书20份，是的，你没有看错，2000多人，20本证书.........卷，就硬卷好吧（下面放图给出证书详情以及兑换要求）

虽然知道可能抢不过群里的那些大佬，可是还是要试一下，毕竟一个还没有被大规模挖掘过的学校，找到漏洞的概率还是比较大的。而南昌大学作为一所211，敢上架证书，我估计那些比较明显的漏洞、系统的弱口令等等，基本在上架前就已经被他们自己的网络中心修复了。

所以我知道自己运气没有那么好，刚好能碰上某个系统的弱口令，于是转而去看看有无其他漏洞挖掘点。首先进入他们的一卡通中心，因为之前上海交通大学的中危漏洞，就是从一卡通系统打入进去的（已报送相关单位并修复）。

但是这里我们看到，该校的一卡通充值服务等，居然是托管到了中国建设银行？？？？那就再见了（本人还没有那技术去打中国建设银行），另外发现其一卡通硬件设施是由新开普电子集团开发的，应该有洞，无奈没爬出其后台，所以只能放弃一卡通这条路。

转而想想其他路，之前我通过xxxxxxx公司的采购平台、国有资产全生命周期平台等系统刷过edusrc的屏，也拿到了南开大学、东南大学等高校的高中低危漏洞（已报送相关单位并修复）。想到这里，马上去看看南昌大学的国资处，是不是也是该公司的同一套系统产品架构。

江西宁伟科技有限公司？好，再见。啥公司，没听说过，先拿小本本记下来，日后再来挖挖这个公司的漏洞。正准备离开的时候，却发现了这个国资处有一些有趣的登陆点，但是几乎都是基于统一身份认证登陆的，除非找到开发公司的0day，否则很难渗透进去（社工的当我没说）。

直到一个“xxxxx系统”的二维码出现，又让我有了一丝希望。迅速扫码，得到如下界面

看到工号，上谷歌语法：site:ncu.edu.cn filetype:xls intext:工号 + burpsuit，嗦到大量教师职工号，输入之后成功进入绑定界面

接下来便是关键点了，可以看到，输入职工号后，这个绑定数据界面自动填充了工号对应的教师姓名、手机号、工作单位等，此时对url末尾传递的参数（其实就是职工号进行POST明文传参，是真的傻）直接进行修改，可以得到所有教师对应的信息。但是因为没有敏感信息，这样交上去也会因为“ 危害不足 ”被驳回。所以继续挖掘，看到有验证码，且已经填充了该教师的手机号码，果断使用burpsuit拦截流量包，看是否有验证码劫持漏洞。

可以看到burpsuit拦截的数据包里面，参数“phone”居然又是明文传输，且后面没有添加&验证身份。顿时感觉有戏，马上修改value等于自己的电话号码，然后forward放走数据包。

成功拦截下验证码到我自己的手机，输入验证码，成功绑定！！！！（开发这个网站的程序员真的可以回炉了，前后端都没有进行验证码和身份的匹配认证）

成功登陆后，发现文件上传点。

不用多说，常规思路：上传木马，getshell。

先随便上传一张图片，测试有无返回路径，不然后期上传木马后也无法连接。这里忘记截图了，不过是成功得到了返回路径，但是到这一步，我发现了一个有趣的东西，越权！我点开我刚刚上传的文件详情，得到一个URL：http://*.ncu.edu.cn/index.php/******/******/*****/198.html

末尾参数“198.html”是真的就离谱，修改数字，可以发现跳转成了仅有1970-01-01 8:00字段的页面。这个时间点学计算机的人应该都会很敏感，这是Unix时间戳（转换为北京时间），是现代计算机的基准时间。此处是因为数据库字段datetime类型的值，在页面输出时为假，便会出现该bug，但是我们可以看到，这里确实可以与后端数据库进行交互。