0x01 信息收集

个人觉得教育src的漏洞挖掘就不需要找真实IP了,我们直接进入正题,收集某大学的子域名,可以用oneforall,这里给大家推荐一个在线查询子域名的网站:https://www.virustotal.com/ 收集到的子域名还是蛮多的,主要是子域名直接就可以复制到txt文件,方便后续域名探针。这里查询到700多个子域名。

子域名探针,我用的是Finger,网上有相应文章介绍安装,不再赘述,直接拿去跑,探针存活的站点

0x02 资产漏洞挖掘

我们需要对存活的站点进行查看,最严谨的做法是一一查看,找寻其中的漏洞,同时这样也最消磨我们这种小白的耐心,这里直接看Finger扫描输出文件里面的title,看是否带着 “系统”、“平台”、“登录”等字眼,这些站点是最好出漏洞的地方,因为他们往往存在登录框,可测的东西就多了。

最终锁定两个系统站点

0x03 任意账号密码重置

国际学生在线申请系统:https://***..edu.cn/user/login?configId=&sign=

记一次北京某大学逻辑漏洞挖掘_漏洞挖掘

有注册功能点就注册,没有就网上查询是否有默认密码进入,这里很幸运,有注册功能点,还不需要管理员审核,直接注册两个账号

账号1:typ123/Typ123456.
账号2:hhh123/Hhh123456.

登录typ123这个账号,进入系统,查找功能点,发现修改密码处,不需要原密码,感觉有洞可挖,直接BP抓包

记一次北京某大学逻辑漏洞挖掘_逻辑漏洞_02

BP请求响应包部分代码如下:

token=Mjg5NjQ3&newPassword=Typ654321.&cnotallow=Typ654321.

token值进行base64解码,结果为:289647

登录hhh123账号,记录它的token值,有看没有什么规律

token=Mjg5NjQ2&newPassword=Hhh654321.&cnotallow=Hhh654321.

解码为:289646

对比发现token值是按注册顺序逐一增大的

这里尝试将typ123的token值改为hhh123的,测试发现,成功修改hhh123账号的密码,一个逻辑漏洞到手

0x04 任意用户登录

汉字全息资源应用系统:https://***.bnu.edu.cn/#/

记一次北京某大学逻辑漏洞挖掘_教育SRC_03

这里同样注册两个账号

账号1:hhh123/hhh123456
 账号2:typ123/typ123456


登录typ123账号,测试内部功能点,都测了一下,没有测出所以然,突然我想起之前看到的文章,抓登录请求返回包,说干就干,果然,有不一样的地方

记一次北京某大学逻辑漏洞挖掘_逻辑漏洞_04

{"code":200,"desc":"登陆成功!","result":"{\"token\":\"69565637941600f094864d0fcb4adbdd\",\"username\":\"typ123\",\"check\":\"0\",\"mail\":\"3215545898@qq.com\"}"}

这里我试着改一改参数,看登录有没有区别,试了一下,修改username值,就可以登录其他账号,直接将username值typ123改为hhh123

code":200,"desc":"登陆成功!","result":"{\"token\":\"69565637941600f094864d0fcb4adbdd\",\"username\":\"hhh123\",\"check\":\"0\",\"mail\":\"3215545898@qq.com\"}"}

成功,直接登录

记一次北京某大学逻辑漏洞挖掘_漏洞挖掘_05

又一个逻辑漏洞到手

0x05 总结

逻辑漏洞挖掘主打一个BP抓包,看请求包和请求返回包,分析包的代码,看有没有可以利用的参数,更改参数,不断尝试,去测试所有功能点,就会有意想不到的结果。