技术社区
安全培训
技术社群
积分商城
先知平台
漏洞库
历史记录
清空历史记录
相关的动态
相关的文章
相关的用户
相关的圈子
相关的话题
注册
登录
五一腰疼出不去导致的edu证书站从lfi到控制台接管
用户eNziqGGsd9
发表于 浙江
渗透测试
796浏览 · 2025-05-06 10:12
返回文档
五一放假,因为最近腰不太好没法出去玩,所以在单位值班蹭电,边看小说边挖挖洞。
因为一直想要个edu的证书,所以中午先简单hunter找了几个src证书站,每个都逛一逛,翻了下js,再通过js关联到大学别的子域名资产,到处跳。
其中有个站点翻js有看到仨带api关键字的路径
图片加载失败
按习惯挨个扫描,得到其中一个接口路径下有api-doc。
导入到apifox,测接口,其中远程文件上传接口允许给一个文件的远程地址
图片加载失败
图片加载失败
本能的直接尝试lfi下
图片加载失败
能看到,服务器抓取了内容,而后作为图片上传到了minio
这里访问图片地址获取文件内容,确认存在任意文件读取
图片加载失败
重复上面的操作,读再
/var/lib/mlocate/mlocate.db
获取文件目录结构库
简单筛选一下
mlocate.db
目标文件结构的下相对高价值的信息
跑了下发有
nacos
,从
.properties
文件找一下
nacos
等密码
图片加载失败
获取
nacos
信息
翻了下几个
.properties
得到了俩
nacos
的mysql密码
图片加载失败
然后是Nacos密码,不过也是加密后的
图片加载失败
因为他这套
nacos
库用的
mysql
,所以直接找
ibd
格式的
nacos
数据库,通过读取nacos数据库获取数据库密码,说起来我记得之前别的项目还偶尔遇到过
db
格式的。
图片加载失败
users.ibd 中存储着nacos平台上管理配置的服务所使用的用户名/密码
图片加载失败
再读取
/var/lib/mysql/nacos_config/config_info.ibd
,里面存储
nacos
上的已配置的服务注册信息。
图片加载失败
通常来说这里会存有aksk等,这个案例也不例外,暴露了一个oss的aksk,也是上去看了下,key没过期。
图片加载失败
里面有敏感信息,所以就不放出来了
然后是学校公网的几个minio aksk,不过管理端点都放在了内网
图片加载失败
还有openai的key
图片加载失败
edu的mongodb
以及两个sms平台
图片加载失败
图片加载失败
我寻思差不多这就够了高危,也没太好意思翻源码和 `mongo` 库,寻思简单混个高危能换证书就行了,然后下午交了报告。
本来当天下午交了报告之后就去打lol了,晚上和朋友简单复盘了下报告,朋友发现有报告里有aksk去试了下,发现oss的aksk是个高权账户,而且里面还有不少资产。
由于大乱斗输了一宿着实累了,所以我隔了一天才回来下发个子账户登陆华为云控制台看了下。
因为华为云我用的很少,这部分直接用cli做了,只列一下命令,回显就不放了。
导入aksk后,下发个账户,记住创建账户后的id
列出组,得记下管理员组的id
把下发的用户加到管理组
这套操作控制台肯定会告警,但是也没研究过华为云咋绕告警,当天晚上neko葛葛说他去研究下咋绕,我负责直接白嫖。
图片加载失败
查看租户名,其中返回的name就是租户名,登录要用。
然后去华为云控制台,用租户名+创建的子账户登录即可
(这里我第二天上去时候忘截图了,用的朋友当时晚上发我的图)
图片加载失败
阿达西朋友雄鹰一样的资产呢.
到这里,有点怀疑入口机器是华为云的机器。
但用入口的lfi访问了下dnslog,看了下出口,确实是走的edu的出口ip。
图片加载失败
进一步确认下能否访问到元数据。
图片加载失败
看起来8彳亍
现在感觉像做的混合云组网,因为从控制台看有 `mongo` 集群在华为云上,怀疑这台机器上的
mongo
连的是云上的。而这台入口机器却在证书站自己内网里,当然也有可能云主机是云上的是别的业务。
结束了删一下刚创建的用户。
因为提交的报告比较早,所以报告里面没写云上这部分的资产,最终只拿了个高危
还是挺开心desu,严重就等下次放假8
1
人收藏
0
人喜欢
转载
分享
0
条评论
某人
表情
可输入
255
字
评论
没有评论
发布投稿
热门文章
1
契约锁电子签章系统 pdfverifier 远程代码执行漏洞分析(补丁包逆向分析)
2
COFF文件解析 | CoffLdr
3
Java内存马篇——WebSocket内存马及GodZilla二开
4
从零掌握java内存马大全(基于LearnJavaMemshellFromZero复现重组)
5
突破网络限制,Merlin Agent助你轻松搭建跳板网络!
近期热点
一周
月份
季度
1
契约锁电子签章系统 pdfverifier 远程代码执行漏洞分析(补丁包逆向分析)
2
COFF文件解析 | CoffLdr
3
Java内存马篇——WebSocket内存马及GodZilla二开
4
从零掌握java内存马大全(基于LearnJavaMemshellFromZero复现重组)
5
突破网络限制,Merlin Agent助你轻松搭建跳板网络!
暂无相关信息
暂无相关信息
优秀作者
1
T0daySeeker
贡献值:41700
2
一天
贡献值:24800
3
Yale
贡献值:24000
4
1674701160110592
贡献值:21800
5
1174735059082055
贡献值:16000
6
手术刀
贡献值:14000
7
Loora1N
贡献值:13000
8
bkbqwq
贡献值:12800
9
lufei
贡献值:11000
10
xsran
贡献值:10600
目录
转载
标题
作者:
你好
http://www.a.com/asdsabdas
文章
转载
自
复制到剪贴板
没有评论