前言
以下提及的漏洞都提交到edusrc平臺進(jìn)行修復(fù),大佬勿噴。
信息收集
在外網(wǎng)進(jìn)行系統(tǒng)測試,發(fā)現(xiàn)大部分都需要統(tǒng)一身份認(rèn)證,瞅瞅該目標(biāo)單位的統(tǒng)一身份認(rèn)證要求,可以看到初始密碼的規(guī)則是 xxxx@SFZ后六位,用戶名是學(xué)號。
利用相關(guān)語法 site:xxx.edu.cn "學(xué)號|SFZ|密碼"等,未找到有效信息,想到用類似 "助學(xué)金、獎學(xué)金、補貼"等關(guān)鍵詞,發(fā)現(xiàn)一處敏感信息泄露,及時保存下來,沒準(zhǔn)就成為后面突破的一個節(jié)點。
信息整合
從統(tǒng)一身份認(rèn)證登錄的條件來看,我們可得出以下幾點
1、用戶是學(xué)號
2、SFZ后六位
3、已知部分用戶的SFZ后五位
學(xué)號可以利用相關(guān)語法找到 site:xxx.edu.cn "姓名"等等,舉例
由于SFZ倒數(shù)第六位+第五位是生日的日,那最高不超過31,而且倒數(shù)第五位已經(jīng)確定了,可以構(gòu)造如下(默認(rèn)密碼的規(guī)則是 xxxx+@+SFZ后六位,以下是舉例 非真實)
xxxx@020101
xxxx@120101
xxxx@220101
最終在嘗試第二個的時候,成功以默認(rèn)密碼登錄
突破
可以看到需要更改密碼,但前提是需要輸入完整的SFZ號碼,將當(dāng)前的信息繼續(xù)整合,已經(jīng)知道某個用戶的SFZ前七位+后六位,中間的數(shù)字是打碼,其實不難猜出,只剩下年份的后三位(1999的999) + 月份(01 且不超過12),其余的就交給Burp了,肯定有小伙伴問,年份如何確定了,畢竟還是很多的。其實是根據(jù)用戶當(dāng)前的年段(如大三),再結(jié)合自身,進(jìn)行反推,大概是在 199x,最終成功修改密碼。
鎖定年份 199X(X是數(shù)字)、爆破月份
繼續(xù)X+1,爆破月份
由于統(tǒng)一身份認(rèn)證和VPN綁定,成功拿到VPN權(quán)限,可通過多個內(nèi)網(wǎng)段
拿到統(tǒng)一身份認(rèn)證平臺,就可以跳轉(zhuǎn)到多個系統(tǒng)進(jìn)行測試(不在后續(xù)深入 點到為止)
補充:最后也順利拿到了一個EDU證書,無論是漏洞挖掘還是打點,信息收集非常重要,裝配好Burp插件沒準(zhǔn)有意外驚喜,如果掃到源碼可以嘗試審計,或者根據(jù)指紋搜索同類型的系統(tǒng)嘗試進(jìn)行漏洞挖掘(如js特征等),或者找一些老版本的進(jìn)行測試,日常攻防發(fā)現(xiàn)的漏洞復(fù)盤深入一下沒準(zhǔn)也是一個小通用,以下是今年攻防和日常挖洞僥幸發(fā)現(xiàn)的。
審核編輯 :李倩
-
漏洞
+關(guān)注
關(guān)注
0文章
203瀏覽量
15259 -
edu
+關(guān)注
關(guān)注
0文章
13瀏覽量
1703
原文標(biāo)題:實戰(zhàn)|記一次EDU漏洞挖掘
文章出處:【微信號:菜鳥學(xué)信安,微信公眾號:菜鳥學(xué)信安】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論