实战 ｜ 某开大学的漏洞挖掘之旅

gclome

原文链接：实战 ｜ 某开大学的漏洞挖掘之旅

前段时间颓废了很久，每天都在打游戏玩手机，某天晚上深思良久，愧疚感蹭蹭往上涨，碰巧看到群里某老哥挖了个某开，便想着也去搞一个。

​


​

之前都听说某开很难搞，直接搞子域名可能难度比较大，聪明如我当然是直接来到fofa找C段。通过搜索到的一个某开资产，来到https://www.ip138.com/这里查询，也是直接确定了一个C段。
​
C段找到以后，直接上手扫了一遍，找到一个目标资产瞬间引起了我的兴趣。
​
为啥呢，因为我看到了注册按钮。这踏马的，一看就像是有洞的感觉。
​
有注册，就说明有用户。有用户，就说明存在越权，信息泄露，xss等等漏洞的可能性比其他站点的可能性更大，也更容易出洞。

那这我踏马得马上注册一个号啊，
​
注册的时候，直接插一个xss。
来到登录界面，果不其然，一个存储型xss到手。
​
但这也就仅仅1个rank。得想个办法搞个中危才行啊。
网站是基于session来标识用户身份的。而常规的修改参数越权，也几乎不存在。
​
因为用户这一块，功能太过于单一，登录进去就一个修改密码，修改昵称等等。所以用户这一块，基本上找不出什么漏洞。
常规漏洞应该是出不了了，那看看有没有任意密码重置啥的逻辑漏洞。
​
cnm，根本不能修改密码，这管理员怎么想的。

域名后面一手admin，后台出来了。

• 
  

http://xxxx.edu.cn/admin/public/login.html
想着爆破一波管理员密码，但是有验证码没法搞。但我还是试了十多个非常常见的弱口令。
​
毕竟头铁，有一次针对管理员密码无法爆破的情况下，靠着一个一个试弱口令，试了几个就出来了。所以这种耗费时间不大，收益极大的事情，该头铁还得头铁，好了，不过话说回来。我这里没有试出来。

/admin/public/login.html
但是这个域名，这个路径，让我觉得似曾相识。
直接访问public。
直接返回一个报错页面，发生肾么事了？？？？原来是onethink。
​
马上啊，对着版本号搜了一波，果然，这个版本好像是有洞的。
​

正当我payload打过去，以为中危稳了的时候，踏马的，有狗！
​

WAF不会饶，而且有可能绕过以后也不一定有洞，所以这个点我是放弃了。扔给搞硝师傅看看。
​
扫了一下端口和目录，也没啥可测的。放弃放弃。换下一个目标，可别在一棵树上吊死，不然等会天就亮了。

​

经过一段时间的苦找，又入手一个目标，是一个邮箱系统。
嘿嘿嘿！直接干！
站点页面如下图：
​
我踏马直接一手
123456
123456然后抓包查看验证流程，并想侧一手注入。
疑惑的地方诞生了，burp无法抓包，而且一直处于响应状态：
​

第一个想的是可能有js验证账号等。但是js我翻找了一遍，发现并没有。那么有可能就是站点功能缺失。
如此说来，这是个垃圾站，功能都没有做好。这种缺少维护的站可能出洞的几率也是比较高的。Burp无法抓包。其他的目录端口也无敏感点。只有从js文件等入手，查看有无暴露的敏感信息，比如用户密码，接口，cms等等。

源码里面一个ajax传参泄露了网站路径：
​
访问后确实有这个文件：
​


测一手目录穿越，访问code文件夹

http://xxxxx.edu.cn/xxxxxxxx/code/
发现确实存在目录穿越漏洞：
​
存在目录穿越，尝试访问他的不同文件夹，看看有无敏感信息文件泄露。
#1发现敏感信息文件泄露，职工姓名和邮箱泄露：
​
ASCII解码即可查看明文：
​

#2查看所有用户收发信箱文件
（这里我觉得是一个比较有价值的点，可以查看用户的收发文件，不免有很多敏感文件，比如入学申请书等等，文件是很多的，直接会卡一会。就不放太多文件内容了，比较敏感）：

/code/data/
​
​

​
#3查看部分邮箱内容：
图片.jpg 这里找不到图片了。但是可以确定的是，可以查看用户发邮件的部分内容。

其他泄露的敏感文件还有很多，例如日志信息等等，这里不进一步深入了，已经足够拿中危了。打完收工。
​

此时已经是凌晨四点多了，给好基友报个喜：
​
​

踏马的！睡觉。

​
​

吹灭读书灯，一身都是月
​