记录一次手慢的edu通杀

注：参加某edusrc平台活动，已授权，本文部分图文无关！部分图片厚码请谅解。

首先打开站点，发现是一个教学平台，直接有账号密码，连注册都省了

xss

点击修改，标题插入xss

点击确定保存返回，发现尖括号都被转义了

再次修改，闭合双引号

确定后保存，再次点击修改进入页面

水到第一个洞

sql

ajax方法请求的Url有sql注入

继续测试，上传图片接口有白名单+黑名单校验

只能从其他地方入手了。

upload

但是看了一眼上传框的UI

怎么这么像ueditor，而且.net版本的ueditor可以接口实现文件上传getshell，具体文章参考潇湘信安公众号的文章： https://mp.weixin.qq.com/s/mH4GWTVoCel4KHva-I4Elw

所以现在是要找到ueditor的路径。在网站上翻找，发现uedirot配置文件的路径，就在网站根目录下：

离getshell更近了。访问可以上传文件的action看看 http://xxx.com/ueditor/net/controller.ashx?action=catchimage

和想象中的不一样啊，怎么出现了500报错？没学过.net的我哭了，但是可以暂时得出一个结论，这个ueditor的配置做了一些改动，必须通过其他文件来调用才能实现ueditor原有的功能。继续往下看数据包，发现了另外一个ueditor的url

打开url

http://xxx.com/xUeditor.UeditorConfig.cspx?action=config&&noCache=1666165414111

这是ueditor的配置文件，注意看action参数config，把他改问能上传文件的actioncatchimage试试

好了，直接按照文章的方法,首先试试1.5.0版本的payload

有请求，而且返回了webshell地址

拿下 发现网站目录下还有不少其他大学类似的网站，感觉像是EDU的一个开发商

于是在EDU上搜索了一下发现果然在厂商名单中

爽，正当我沉浸在马上要刷屏edu SRC的时候，点进去一看发现在7月份的时候有一位师傅已经交过了......

寄以此文，纪念我这小菜鸡第一次挖掘到的EDU通杀漏洞。感觉有些时候通杀并没有很难，就是需要多细心，如果一次利用不成功，不要着急，细心下来思考其他利用点，说不定就会有意外的收获。

E

N

D

知识星球产品及服务

团队内部平台：潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......

星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享

星球知识wiki：红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......

星球网盘资料：安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~