记一次EDU漏洞挖掘
2023-4-18 08:31:15 Author: 潇湘信安(查看原文) 阅读量:17 收藏
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

0x01 信息收集

在外网进行系统测试,发现大部分都需要统一身份认证,瞅瞅该目标单位的统一身份认证要求,可以看到初始密码的规则是 [email protected]后六位,用户名是学号
利用相关语法 site:xxx.edu.cn "学号|SFZ|密码" 等,未找到有效信息,想到用类似 "助学金、奖学金、补贴"等关键词,发现一处敏感信息泄露,及时保存下来,没准就成为后面突破的一个节点

0x02 信息整合

从统一身份认证登录的条件来看,我们可得出以下几点
用户是学号SFZ后六位已知部分用户的SFZ后五位

学号可以利用相关语法找到 site:xxx.edu.cn "姓名" "学号" 等等,举例

由于SFZ倒数第六位+第五位是生日的日,那最高不超过31,而且倒数第五位已经确定了;

可以构造如下(默认密码的规则是 [email protected]+SFZ后六位以下是举例 非真实

[email protected][email protected][email protected]

最终在尝试第二个的时候,成功以默认密码登录

0x03 突破

可以看到需要更改密码,但前提是需要输入完整的SFZ号码,将当前的信息继续整合。
已经知道某个用户的SFZ前七位+后六位,中间的数字是打码,其实不难猜出,只剩下年份的后三位(1999的999) + 月份(01 且不超过12),其余的就交给Burp了。

肯定有小伙伴问,年份如何确定了,毕竟还是很多的;其实是根据用户当前的年段(如大三),再结合自身,进行反推,大概是在 199x,最终成功修改密码。

锁定年份 199X(X是数字)、爆破月份

继续X+1,爆破月份
由于统一身份认证和VPN绑定,成功拿到VPN权限,可通过多个内网段

拿到统一身份认证平台,就可以跳转到多个系统进行测试(不在后续深入,点到为止)

文章来源:先知社区(ddwGeGe)原文地址:https://xz.aliyun.com/t/11960

关 注 有 礼

关注公众号回复“9527”可以领取一套HTB靶场文档和视频1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”杀软对比源码+数据源,0421Windows提权工具包
 还在等什么?赶紧点击下方名片关注学习吧!

推 荐 阅 读


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247503007&idx=1&sn=acdd56a45ef731ce158450f8eca043a6&chksm=cfa5688cf8d2e19a80facdcbe3819961b438b58a6a0a25cd6e9cdf87e828cb4df3115e065ba1#rd
如有侵权请联系:admin#unsafe.sh