用户
搜索
  • TA的每日心情

    2021-1-28 14:10
  • 签到天数: 30 天

    连续签到: 1 天

    [LV.5]常住居民I

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    9

    主题

    86

    帖子

    684

    魔法币
    收听
    0
    粉丝
    3
    注册时间
    2016-10-9

    i春秋签约作者

    发表于 2021-1-28 13:49:38 410640
    本帖最后由 Mstery夕颜 于 2021-1-28 13:49 编辑

    0x00 前言

    前端时间我学校上线了一个智慧校园系统,由于我是属于网络中心的教职工,所以我的工作内容里面包含了维护学校服务器以及运行的资产。所以对该智慧校园系统进行了一次测试,于是就有了这篇文章



    0x01 正文

    初期询问了一下我们中心的一个老师,得知网站是架设在阿里云的,于是我就对信息收集失去了兴趣(主要还是懒)。

    学校这种项目的话基本上就是以下几种情况



    我们学校很明显是承包商包办,所有没有提供服务器的学校统一在一个服务器上面发布(这钱真好吃,据说吞了我们几百万经费)



    #### 言归正传  

    网站首页是这样的,因为我已经有教职工账号了,所以没登录前的功能我就不进行测试了。





    先试试能不能直接上传,在个人资料-头像的地方发现上传,但是经测试只能上传图片(看起来是js验证,但是我尝试过后端会验证)



    云盘可以上传,但是找不到真实路径



    注入等等漏洞尝试后无果,就在我以为这几百万经费花的好像还蛮值得的时候。。。在一个js里发现里面有大量的接口、页面的地址,于是想着会不会存在一些隐藏页面、api或者未授权页面。

    通过 *basePath*搜索(一般js里面写的跳转、调用某些页面都通过这个来确定页面除非自定义了)



    嗯...563条匹配结果,只能通过url里的关键字判断这个页面、接口是用来干嘛的了

    仅仅第十个就发现了可以目标,保存登录信息的api。(不过很遗憾 404了)





    虽然这个接口404了但是根据这个接口的参数,我们可以大胆猜测这个系统使用userid控制用户,所以先尝试在js内搜索一下userid看看有没有收获



    emmm...第一个结果就是一个api,根据命名规则来看貌似还是获取用户token...



    userid为1时无回显,当userid为3时出现了一个jwt格式的数据,我们试试能不能解开



    解密成功 但是好像没什么有用的东西,接下来看看有没有什么api可以利用这个jwt,因为这个接口是用来获取token的,所以我们试试在js内搜索token



    在第12个结果的时候发现了一个验证的api试试看能不能用这个jwt做些什么操作







    可以看见 访问这个url之后他给我们设置了一个jsessionid,并且底部有一段代码跳转了,上浏览器看看到底跳转去了个啥子页面。于是神奇的一幕出现了....



    !!!我就这样成了admin了????这未免也太过儿戏了吧!这真的是几百万经费换回来的系统???不是路边随便找人开发的???

    测试了一下之后发现。功能是可以用的(我好像真的成了admin)







    0x02 后语

    这篇文章其实有那么点水(已经是海了好吧...),发上来之前已经提交cnvd了,并且在提交了之后,我神奇的发现,这个漏洞通杀所有使用该智慧校园的(只需要先再一个智慧校园获取admin的token,就可以在全部使用这个系统的网站上变成admin),说实话,几百万的经费就换回来这么一个系统,我个人觉得是不值得的。这个系统也说明我国教育行业所使用的服务,其实安全性真的很差劲,对学生、教师的个人信息不能保障希望上面能重视起来吧。



    也希望各位初学者(大牛就算了,大牛直接掏0day了)在渗透测试的过程中能仔细点不要放过任何一个网站上的资源,网站被入侵没有任何一个文件是无辜的。



    本文章仅供学习,切勿用于非法用途,否则产生的任何后果自行负责。
    发表于 2021-1-28 14:03:21
    夕颜更新了
    让我们一起干大事!
    有兴趣的表哥加村长QQ:780876774!
    使用道具 举报 回复
    师傅tql
    使用道具 举报 回复
    发表于 2021-1-28 19:16:14
    巧了,我也是校网络中心打工
    My blog :http://www.e-wolf.top
    使用道具 举报 回复
    图挂来了
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册