一、信息收集
近期edu又上新一个证书,来到证书站的统一门户
经过初步测试,该站点账号登录需要在校园网环境下才能进行登录,但是还可以app扫码登录,下载app发现app账号登录也需要在校园网环境登录,但是百密一疏,对于新生只要知道考生号和身份证号即可在公网登录
于是,直接来到抖音搜索xxxx大学录取通知书,总有人既没有安全意识有喜欢炫耀,这不直接就搜索到了
二、测试功能点
直接默认账号密码登录app
然后扫码登录webvpn系统
可惜只有少数系统开放,直接开测
来到智慧校园门户
打开bp抓包并点击信息维护
发现传参都是通过cookie,但是有一个数据包例外
这个数据包是通过考生号来传输用户照片,巧的是这个考生号是能够遍历的,因为他是有规律的
直接构造遍历
成功遍历到大量用户的照片
然后通过查找js发现一个连接管理系统,没有验证直接进入系统
直接构造xss,发现成功弹窗,并且类型为存储型
接着来到学工系统,发现系统是js写的,js写的那就很容易存在前端越权绕过
查找源代码发现登录逻辑,ResultCode=0时即可直接登录后台
抓包点击登录并修改返回包
成功登录后台
然后抓包并点击个人中心,在返回包的value里加上xss语句
成功弹出管理员cookie
最后还在前端代码中找到了aes加密的key和iv值
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
