在web資產挖證書站是比較難的,尤其是沒有賬號密碼進入後臺或者統一的情況下,於是便轉變思路,重點放在資訊收集,收集偏遠資產上。
一、XX大學 srping actuator未授權
茫茫c段,找到這麼一處資產
一個大學的課題組,有的人可能看到就放棄了,但他使用的不是靜態的元件,指紋識別如下,可以試試
對目錄進行掃描,探測出/xx-api,便對/xx-api進行fuzz,探測到/xx-api/actuator
這裡heapdump是下載不了的,試了好多方法都不行,這個時候提交漏洞最多的低危1rank或者危害不足,便把注意力放在了env這個介面上
找到了xxl-job-admin的介面,這個介面不在原本的域名下,直接找很難找到
透過預設密碼直接進入
後續就是透過歷史漏洞命令執行,成功拿下高危漏洞
二、XX大學 換種姿勢密碼噴灑
admin弱口令、邏輯缺陷嘗試無果,但看到可以透過郵箱登入,便有了下面的思路
透過忘記密碼功能,讓對方發郵件到我們這,對方傳送郵件的賬號很可能就是管理員或者教師賬號
獲取到郵箱
透過此郵箱進行密碼噴灑成功登入
下方可檢視大量學生敏感資訊
此時已經收穫了一箇中危漏洞了,但兌換證書需要兩個中危起步,只能繼續看看
檢視學生資訊的地方可以看到一個GET請求,一般這個請求存在未授權訪問/垂直越權的情況很大
退出賬號,直接訪問這個url,可以直接檢視學生敏感資訊,直接垂直越權,中危+1,拿到證書
三、XX大學 水平越權
找到一個註冊功能的系統,來到企業資訊處,點選資訊修改抓包
看到一個id值,把id修改成其他人的值,返回也是200
找到註冊地方,驗證一下,發現多了幾處一樣的資訊,驗證了水平越權,也可以註冊兩個號來驗證
這個站很多地方都有userid,companyid字樣,其他介面修改id傳參返回包會提示越權操作,猜測就是存在越權漏洞被修復的,就嘗試繼續找越權點,中危證書+1
四、XX大學 nb的任意使用者密碼重置
證書站有的時候比的就是眼疾手快,下面直接展示
前臺忘記密碼功能
直接輸入使用者名稱和密碼就能重置
直接修改成功
高危證書+1,比的就是眼疾手快,透過自己偏遠資產定位的語法,從釋出此新證書到提交此漏洞只用了不到5分鐘。