記一次EDU漏洞挖掘

前言

以下提及的漏洞都提交到edusrc平臺進(jìn)行修復(fù)，大佬勿噴。

信息收集

在外網(wǎng)進(jìn)行系統(tǒng)測試，發(fā)現(xiàn)大部分都需要統(tǒng)一身份認(rèn)證，瞅瞅該目標(biāo)單位的統(tǒng)一身份認(rèn)證要求，可以看到初始密碼的規(guī)則是 xxxx@SFZ后六位，用戶名是學(xué)號。

利用相關(guān)語法 site:xxx.edu.cn "學(xué)號|SFZ|密碼"等，未找到有效信息，想到用類似 "助學(xué)金、獎學(xué)金、補貼"等關(guān)鍵詞，發(fā)現(xiàn)一處敏感信息泄露，及時保存下來，沒準(zhǔn)就成為后面突破的一個節(jié)點。

信息整合

從統(tǒng)一身份認(rèn)證登錄的條件來看，我們可得出以下幾點

1、用戶是學(xué)號
2、SFZ后六位
3、已知部分用戶的SFZ后五位

學(xué)號可以利用相關(guān)語法找到 site:xxx.edu.cn "姓名"等等，舉例

由于SFZ倒數(shù)第六位+第五位是生日的日，那最高不超過31，而且倒數(shù)第五位已經(jīng)確定了，可以構(gòu)造如下（默認(rèn)密碼的規(guī)則是 xxxx+@+SFZ后六位，以下是舉例 非真實）

xxxx@020101
xxxx@120101
xxxx@220101

最終在嘗試第二個的時候，成功以默認(rèn)密碼登錄

突破

可以看到需要更改密碼，但前提是需要輸入完整的SFZ號碼，將當(dāng)前的信息繼續(xù)整合，已經(jīng)知道某個用戶的SFZ前七位+后六位，中間的數(shù)字是打碼，其實不難猜出，只剩下年份的后三位(1999的999) + 月份(01 且不超過12)，其余的就交給Burp了，肯定有小伙伴問，年份如何確定了，畢竟還是很多的。其實是根據(jù)用戶當(dāng)前的年段（如大三），再結(jié)合自身，進(jìn)行反推，大概是在 199x，最終成功修改密碼。

鎖定年份 199X(X是數(shù)字)、爆破月份

繼續(xù)X+1，爆破月份

由于統(tǒng)一身份認(rèn)證和VPN綁定，成功拿到VPN權(quán)限，可通過多個內(nèi)網(wǎng)段

拿到統(tǒng)一身份認(rèn)證平臺，就可以跳轉(zhuǎn)到多個系統(tǒng)進(jìn)行測試（不在后續(xù)深入 點到為止）

補充：最后也順利拿到了一個EDU證書，無論是漏洞挖掘還是打點，信息收集非常重要，裝配好Burp插件沒準(zhǔn)有意外驚喜，如果掃到源碼可以嘗試審計，或者根據(jù)指紋搜索同類型的系統(tǒng)嘗試進(jìn)行漏洞挖掘(如js特征等)，或者找一些老版本的進(jìn)行測試，日常攻防發(fā)現(xiàn)的漏洞復(fù)盤深入一下沒準(zhǔn)也是一個小通用，以下是今年攻防和日常挖洞僥幸發(fā)現(xiàn)的。

審核編輯 ：李倩