声明:本文中涉及到的漏洞已经报送到教育部主管的教育漏洞报送平台中,并且上外已经完成相应的漏洞修复工作,本文仅作白帽子的学习交流之用。

某天夜里,吃了顿夜宵,在浏览器的搜索页面看到了上外的软文——“中国语言类第一学府”,好家伙,我和上外的缘分就那么来了。


请输入图片描述

从网上找了上外的网段,然后就开始一顿nmap了(这个时间段应该是学校建站高峰期,资产引擎提供给我的数据感觉有明显的后置性,跑得慢的孩子肯定没东西吃。)

果不其然,我发现了一个web页面,如下图所示

请输入图片描述

由于这个系统的发现,让我有了更多的故事可以讲。


0x01 信息收集

IIS,Microsoft ASP.NET,jQuery,Windows Server,Server【Server】

ASP.NET语言开发

存在一只可爱的硬件防火墙


0x02 寻找接口暴露

想要挖掘这种系统的漏洞,从JS文件中寻找接口暴露然后测试未授权注入类型漏洞往往有奇效,但可惜的是笔者没有那么大的字典,所以因此作罢,只好简单的看了看,没有发现暴露的接口。


0x03 发现SQL注入漏洞

在登陆接口的测试中,加入一个单引号,发现一处注入类漏洞,不报错,也没有拦截单引号,但是会提示给我“软件已经到期”的提示,猜测可能是某条语句先代入了授权时间的数据库查询操作中,然后再直接代入账号密码正确性的数据库查询操作中,单引号已经让授权时间查询操作出问题,因此直接返回给我软件已经到期的页面,基本断定pwd参数存在漏洞。

请输入图片描述


0x04 暂时性的挫败

本来以为已经拿下,上SQLmap打完收工,结果发现跑不出来,抓包,继续查看往返数据包,发现存在过滤很多关键SQL指令,无法bypass,尝试 构造脏数据 结果发现服务器直接丢弃超过一定长度的数据包,继续尝试添加变量绕过,依然无用,心灰意冷,开了瓶咖啡,继续想还有什么办法。

请输入图片描述


0x05 胜利的曙光照进现实

“既然是登陆接口存在SQL注入,后台里面的数据才是我最感兴趣的,为什么不试试构造万能密码呢?”

好家伙的,传统万能密码顶上去,结果依然全部失败 (会不会默认管理员不是Admin呢?)

继续梭哈用户名参数,依然不行

请输入图片描述

这到了嘴边的肉,我能让你跑了?我查了各种文章,收集了几乎所有形式,大半夜的愣是让我肝出来了一个小字典

请输入图片描述

fuzz是最无理且有效的办法,乱拳总是能打死老师傅

继续监控流量包,找了个fuzz脚本就开始跑了,整了个两小时闹钟,准备洗澡睡觉。


0x06 漏洞利用成功,被评级高危。

刚准备上床,发现已经跑出来了,这里笔者给出payload:'or''%3D'

这串邪恶的字符串,可以直接无视管理员密码,获取系统的最高管理员控制权

有何影响?

正如标题所说的那样,里面的数据太有价值了,(学生的身份证信息+学号+密码+地址+出入数据信息)/教职工的身份证+职务+管理密码,全部泄露,应有仅有,如果流放出去,又是一则新闻。

这里笔者对所有数据全部进行脱敏处理。

请输入图片描述

平台定级:

请输入图片描述


0x07 后文

第二天上外就修复漏洞了,反应速度属实给个好评,并且过了没多久,就给我寄来了他们的公章证书和一个纪念品礼物,哈哈哈哈

证书就不放出来了吧,留在家里了,目前人在学校,躺在床上

标签: src挖掘

  • 上一篇: 没有了
  • 下一篇: 没有了

评论已关闭