Redian新闻
>
很刑啊!把全校的学生信息,都搞出来了!

很刑啊!把全校的学生信息,都搞出来了!

公众号新闻

转自:公子龙

今天给大家伙分享一个网络安全的案例,程序员和网安同学都可以看看,作者 lyc,点击文末「阅读原文」可以看原贴。

前言:本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担

0x00 漏洞成因

事情的起因是这样的,在某一天我用谷歌做信息收集的时候:inurl:xxx.edu.cn pdf,突然查找到这样一份pdf文件,看完整个人都笑出了花,有位同学转专业,被学校调剂错了,然后被公示出来,学号和sfz都泄露了。

接着我就好心的找了一下他们学校的统一登陆的地方,发现初始登陆的密码是sfz的后六位。

直接登陆成功了,真是我的好兄弟啊。

0x01 漏洞发现

进入之后发现,只有日常事务这一个模块能登陆进去,先进去看看的。

进入之后测了很多地方,sql注入,文件上传之类的漏洞是统统没有啊,还有很多应用居然没有权限,但是她提醒我没有权限这一点,让我想到,会不会有未授权,但是抓包测试半天都没有成功。

但是好在天无绝人之路,我突然看到一个功能点,反馈这个功能点。

输入了一些内容之后,抓取数据包看了一下。

POST /api/apps/feedback HTTP/1.1
Host: xxx.xxx.xxx:80
Content-Length: 79
Accept: application/json, text/plain, */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36 Edg/110.0.1587.41
Content-Type: application/json;charset=UTF-8
Origin: http://xxx.xxx.xxx:80
Referer: http://xxx.xxx.xxx:80/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6,ko;q=0.5,zh-TW;q=0.4
Cookie: sid=7e670c0c-9529-4a1b-87b6-6c6aec4edbc1
Connection: close

{"jybh":"d997E5ee-17B6-6C9A-13c1-83EAFE09F831","bt":"1","yddh":"11","jynr":"1"}

是这样一个数据包,也没有注入点之类的,感觉没啥东西啊,想着就把/api/apps/feedback这个直接拼接到url上看看,因为看到api就会让人想到信息泄露之类的。拼接上去之后,告诉我缺少pageNum这个参数,我把这个参数拼接上去。

结果又告诉我缺少pageSize这个参数。

全部拼接上去之后发现,是一条学生的信息。

改变这个pageNum和pageSize后面数字的大小可以看到更多信息,但是只有几个学生有反馈问题,得到的信息泄露少之又少,就只要这么一点点,够谁吃啊,再来一罐,一人一罐(刘德华bushi)。

0x02 漏洞深挖

虽然说挖到这样一个漏洞,但是毫无作用啊,感觉到有些挫败的时候,突然想到,这个信息泄露肯定是整个系统的问题,找一个学生信息多的地方,拼接url,看看能不能泄露的更多。

直接找到个人信息这一块,编辑然后抓包看一下。

观察一下我抓到的这个数据包,首先我想到上面拼接语句的时候,是直接url发送数据的,所以请求方法应该是GET,并且我之前请求的时候是没有body这个部分的,所以body也要删除,然后拼接上pageNum和pageSize这两个参数。

Content-Length: 748
Accept: application/json, text/plain, */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36 Edg/110.0.1587.41
Content-Type: application/json;charset=UTF-8
Origin: http://xxx.xxx.xxx:80
Referer: http://xxx.xxx.xxx:80/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6,ko;q=0.5,zh-TW;q=0.4
Cookie: sid=7e670c0c-9529-4a1b-87b6-6c6aec4edbc1
Connection: close

{"yhbh":"xxxxxxxxxxxx","xm":"xxx","nc":"1","zt":"0","pxh":0,"yddh":"189xxxxxxx","dzyx":"xxxxxxxxxxxx","qq":null,"wechatUnion":null,"wechatOpenid":null,"salt":"test","xbm":"1","yhlx":"0","tx":"xxxxxxxxxxxx_avatar","pf":"defaultSkin","bmmc":"19xx1","bmbh":"xxxxxxxxxxxx","jzbmbh":[],"yhjs":["XS"],"positionIds":null,"userLog":{"bh":"7d83f326-7cee-4ad4-b242-17faef9fdc90","yhbh":"xxxxxxxxxxxx","dlsj":"2023-02-12 23:12:40","tcsj":"2023-02-13 11:22:25","khdczxt":"Windows","khdllq":"Chrome-110.0.0.0","khdipdz":"117.92.247.178","khdlx":"PC"},"gwbh":[],"gwmc":[],"sfzjh":null,"personalSkin":null,"personalSkinThum":null,"value":null,"id":"xxxxxxxxxxxx","nickname":"1","phone":"18xxxxxx","email":"[email protected]"}

但是我修改后发现请求失败了,告诉我没有权限。

感觉好像还是有地方差点意思,发现直接语句的后面只拼接了三个目录,那我尝试也只拼接三个目录试试呢。

终于这一次出现了别的学生信息,这里的话可能是五层目录没有权限,但是三层目录有权限,导致了信息泄露。

然后我修改pageNum和pageSize这两个参数的大小,结果测试后pageNum=1,2,3,4,5和pageSize=1000的时候,分别泄露不同的一千个人的信息,pageNum后面的数字超过5之后,就没有信息了(这个学校的学生可能就这么多了)。并且pageSize后面的数值太大会造成超时。

所以我成功获取了全校四千多名学生的姓名、班级、学号、邮箱、sfz等信息(厚码码死谢谢)

最后提交edusrc,做一个守法公民。

0x03 漏洞总结

1、肯定还是要做好信息收集,有的时候获得了账号比没有账号好出漏洞。

2、挖漏洞的时候一定要坚持住,这套系统我来回测了好几遍才出来这个漏洞,有的时候坚持也很重要。

3、看到有api的时候,就尝试去拼接一下,很多时候就会出现一些其他功能点,或者信息的泄露。

·················END·················

推荐阅读

•   AI又进化了,突破性革命来了•   第一批因ChatGPT坐牢的人,已经上路了•   30岁了,说几句大实话

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
「ChatGPT克星」升级:老师可以把全班作业丢进去检测了!华人作者:免费用最高法个人信息指导性案例:涉及人脸信息、身份证信息、社交媒体账号、手机验证码等刑法保护的公民个人信息寒流与圣诞祈祷CS书单|全美第一计算机牛校的学生都在读什么?淄博小烧烤,把全国的大学生都馋去了?MIT青睐的学生,都是什么样?今年被录取的四个学生牛在哪?常春藤盟校的学费已逼近每年9万美元笑死:加拿大一个小学遭臭鼬放屁!全校学生撤离一周如何一句话激怒美国名校的学生?澳洲,下一个公众假期就要来了!这些信息,有用!了解一下暗能量只是黑洞产生的假象?天文学家怎么又搞出来这么离谱的理论[哈哈]臭昏!加拿大一个小学遭臭鼬放屁!全校学生撤离一周游戏里那些奇怪的音效,是怎么搞出来的?我的故事 —— 华西岁月(眼科)(上)港澳高校2023年本科内地招生信息来啦!/国内多地取消入境查验48小时核酸要求/​驻美大使馆提醒:近期谨慎前往这些地区!《呐喊》 ​​​啊!啊啊!啊啊啊!过年端上这道菜,能把全家人都给香迷糊了!第二次徒步圣路,750公里葡萄牙之路+英国之路:D20~后会有期3小时生信复现实操演示,炫酷美图0代码一键出!生信小白福音!全校轰动!34岁华人美女老师性虐待学生被逮捕,曾荣获“年度教师”!我的故事 —— 华西岁月(眼科)(下)笑死我了!安省大学全校重建,结果把校长家卖了!但是这个留下!头一次这么羡慕这个学校的学生!SKEMA大巴黎新校区探校强势来袭!【推荐】头一次这么羡慕这个学校的学生!SKEMA大巴黎新校区探校强势来袭沸腾了!刚刚,总理报告传来超重磅信息!GDP目标定了,鼓励支持民营经济和民营企业发展壮大!把恢复和扩大消费摆在优先位置!北京雇佣“男公关”投毒事件,她可真刑啊!附中、金中、仙外…多校国际班招生信息汇总发布网暴未成年人信息,一天挣了700多元?回应来了!一篇悼文无意间透露出来的信息,引发了关于器官移植新的讨论!昨天是母校的骄傲,今天成母校的老赖真刑啊!敢拍这么羞耻的事,胆子不是一点大…厉害了!北大3位硕博生搞出ChatGPT版Excel!动动嘴就能自动处理表格……免费用!为了情人节,我们连LA MER和日本EMS减肥裤都搞到了,也是拼了!工具|留学生信息闭塞真的是太可怕了!生活学习科研求职的网站app用起来子虚乌有的“苏联逼债” 短史记
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。