看了个寂寞
写在前面
之前注册了edusrc,搞了本证书后就很少打edu了,可是还闲着很多金币在里面,也没什么东西换,寻思着再搞本证书,便有了这篇文章的出现。此文章中所有漏洞均已提交至edusrc并已经修复。
过程
漫长的信息收集……子域名、目录等等信息,这里也就不说了,直接略过。
这里找到了其中一个子域名存在有登陆系统,我便直接上手了。
这里我输入的账户是admin,密码是123456(这里注意要用TAB键来切换):
一开始先在options
选项里勾选Intercept responses
,目的是抓响应包:
然后便一直Forward发到最后一个包,看见这里用xml来传输返回的数据,即这个,其中返回的值为False:
在规范性的接口开发中,一般数据传输方面是以json或者xml的格式传送的。而这里用的就是xml来传输数据,那么如果我们把其中传输的数据修改一下呢?所以这里我便将传输的数据从False改成了True,再Forward发包:
同理这里先注销,然后用户名随便输,密码也随便输,都是可以登录上去的:
回车便成功进去了,这里进入https://x.x.x.x/Face/0/Main0.aspx?
的页面:
可是这里没什么功能点。正当我一筹莫展的时候,我看到了url中的/0
,那如果把它修改为其它数字,会不会跳转到其它的页面呢?于是我便修改其为/1
,果真跳转到了另外一个后台页面,url为https://x.x.x.x/Face/1/Main0.aspx?
页面:
可是还是没有什么功能点,那么就再改成/2
,url为https://x.x.x.x/Face/2/Main0.aspx?
页面。这时似乎出现了一些功能点了,可是却要我们重新登录:
然后便一直Forward发到最后一个包,看见这里用xml来传输返回的数据:
把其中的False改成True,成功。这里显示有消息15条,通知23条,邮件300封,然后点击开始有个欢迎您进入系统,有挺多功能点的:
那么接着看下一个。修改为3,url为https://x.x.x.x/Face/3/Main0.aspx?
页面:
同理burp抓包,继续Forward发包最后一个包,看见这里用xml来传输返回的数据,把其中的False改成True:
修改为4,url为https://x.x.x.x/Face/4/Main0.aspx?
页面,同理burp抓包,Forward发包最后一个包,看见这里用xml来传输返回的数据,把其中的False改成True: