由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！

上课闲着无聊到处看公众号的文章，翻到了某学院的财务系统

这写的好简陋，逃课回去拿电脑看看十有八九存在漏洞，不用想注入肯定不存在，而且这学校的WAF还挺厉害，无回显界面，直接封ip，一个select就封，我都是校园网和热点一起上的

先看看用户注册

这也太随便了，直接身份证号就行，连邮箱都不用激活

轻松任意用户注册到手，但是可惜edu不收这种垃圾洞，继续吧，使用账号密码登录系统

好家伙验证码都是前端认证的，继续进行

这也太简陋了，系统也简单，但是注意这个url，直接访问IP看看咋样

开始高端起来了，使用之前任意用户注册的账号看看咋样

很好，啥都没有，算了还是回去上课吧，没啥意思，找回密码也看了，一样写的都简陋，去看看fofa吧，碰碰运气，看看存不存在弱口令

来了来了，感觉要出弱口令了，点这个链接，发现存在管理员用户名，但是密码要猜，这时候就可以爆破了，因为这个学校不存在WAF

但是存在验证码，但是之前appjf目录下面的哪个系统是前端验证的，这不就组合起来了吗

登录五次限制？开始我也是感觉不对，但是这个appjf目录下的着实写的不好，密码对了还是可以进系统

来了来了，直接进去了

既然系统都一样，拿会不会其他学校也存在这样的密码规律，直接去第一个学校的地方看看

来了来了，高危来了，最终这个系统基本上安徽十多万学生敏感信息了

都进系统了，进去测呀，未授权，csrf，文件读取，越权，都看看，继续继续

先修改密码看看，这里修改用户密码存在两处，一处是数据库查看处，一处是用户管理查看处，这里都抓包尝试了

第一处：学生管理

sqlserver，这里的sql接口验证了身份，估计是不行了

第二处：用户管理处
本来以为这里调用的应该是同一个接口，但是这里的接口是不一样的，而且可以看到只需要遍历userID，即可修改全校学生
产生原因：未对接口处的cooki进行身份验证，导致直接修改密码

不出意外又是通用，这里cookie写的薄弱，拿继续看看关于cookie的地方。之前任意用户注册起到作用了，直接使用之前的用户，把cookie拿出来就行。把管理员的cookie删了，换上自己注册用户的cookie

直接越权了，可恶，刚和老师说就修了，文章都没来及写

1、任意用户注册：直接抓包发现，看回显值，没想到这里连邮箱激活都没有，验证码还是前端验证的

2、弱口令的发现：使用fofa寻找了一圈，得到了这个管理员用户名，然后再不存在waf的学校进行爆破，得到弱口令

3、任意用户密码修改：两个用户修改密码修改，一处在数据库管理处，一处在用户管理处，两个接口不同，其中一个接口未鉴定cookie，另外一个鉴定了cookie（这里cookie校验也不严谨，导致产生越权），未鉴定cookie的修改密码处，直接可以将全校学生密码修改，但是这个漏洞的缺点是：userID不是学号，数据包中userID需要遍历，而且数值大，但是这个系统的userID大概范围是一样的，而且管理员的userid无法改变

4、越权：这里产生的原因是因为cookie鉴定不严谨，仅鉴定了是否登录，未鉴定是否管理员，导致一个学生可以访问全校学生的敏感信息

5、估计这个系统还有漏洞，但是不想挖了，交报告交的头都大了，edu也没脚本交报告，点到为止吧，漏洞已全部提交至edu平台。

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！