用户
搜索

该用户从未签到

i春秋-脚本小子

Rank: 2

2

主题

14

帖子

75

魔法币
收听
0
粉丝
1
注册时间
2018-2-17
发表于 2019-10-7 09:00:51 31978

u29JzT.png

http://XXXXXX.edu.cn:8088/Manager/Account/LogOn

u29UL4.md.png

admin admin

咳咳,虽然是弱口令,但别小瞧,,因为这个平台只给国内高校服务且后台地址隐秘,所以各大高校的管理员都不修改

别问,这个后台我咋发现的,,,
u29tQU.md.png

偶然发现存在ueditor,发现利用不了就访问配置文件,然后访问链接直接跳转后台,,,,,23333

0x01:任意文件上传+上传目录可控

1.进入后台后找到 信息管理-信息发布 并上传图片马
u29NyF.md.png
2.Ctrl+R ,然后把 /Manager/File/UpFile?path=upimages 改成 /Manager/File/UpFile?path=upimages/../ 因为path可控所以可以使文件上传到上级目录(根目录)
3.
并把 filename="aspx.jpg" 改成 filename="1.aspx..jpg"因为他存在文件格式解析漏洞( 检测结尾是图片,但是用..后使网站只截取前面的后缀)
然后点go
u29ww9.md.png
成功把子上传到根目录(这里提醒一下,必须要把子上传到根目录或其他目录,因为很多网站服务器默认的上传目录禁止执行动态文件)
访问一下并拿冰蝎连接

4.
u290oR.md.png
直接就是system权限
u29GWV.png

0x02:任意文件下载

1.至于任意文件上传 就是在下边上传一个附件 然后点击下载 他会显示
http://xxxxx.edu.cn:8088/manager/file/dlfile?path=/upimages/55beee65-100a-4a19-9740-e47407e880a4.zip&filename=1.zip
而/upimages/55beee65-100a-4a19-9740-e47407e880a4.zip 就是你的附件地址 可以直接改成http://xxxxx.edu.cn:8088/manager/file/dlfile?path=/web.config&filename=cfg.txt 即可下载

u29DF1.md.png
u29deJ.png
2.结尾: 然后fofa搜了下这个平台,,大概有100多个高校在使用

3然后写了个py 扫一下,,100里面有89个没改密码 2333

PS:记得关注公众号:重生信息安全
and
这个0day放出来只是单纯的技术学习,大家别想着能继续挖了,,因为都被我提交给edusrc了,,,,, 现在全改密码了
u29rJx.png

发表于 2019-10-8 11:49:45
表哥牛逼,学习了
使用道具 举报 回复
好文章,仔细读了
使用道具 举报 回复
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册