EDUSRC | 记录几张edusrc证书站挖掘

在web资产挖证书站是比较难的，尤其是没有账号密码进入后台或者统一的情况下，于是便转变思路，重点放在信息收集，收集偏远资产上。

一、XX大学 srping actuator未授权

茫茫c段，找到这么一处资产



一个大学的课题组，有的人可能看到就放弃了，但他使用的不是静态的组件，指纹识别如下，可以试试



对目录进行扫描，探测出/xx-api，便对/xx-api进行fuzz,探测到/xx-api/actuator



这里heapdump是下载不了的，试了好多方法都不行，这个时候提交漏洞最多的低危1rank或者危害不足，便把注意力放在了env这个接口上

找到了xxl-job-admin的接口，这个接口不在原本的域名下，直接找很难找到



通过默认密码直接进入



后续就是通过历史漏洞命令执行，成功拿下高危漏洞

二、XX大学 换种姿势密码喷洒



admin弱口令、逻辑缺陷尝试无果，但看到可以通过邮箱登入，便有了下面的思路

通过忘记密码功能，让对方发邮件到我们这，对方发送邮件的账号很可能就是管理员或者教师账号

获取到邮箱



通过此邮箱进行密码喷洒成功登入



下方可查看大量学生敏感信息

此时已经收获了一个中危漏洞了，但兑换证书需要两个中危起步，只能继续看看

查看学生信息的地方可以看到一个GET请求，一般这个请求存在未授权访问/垂直越权的情况很大



退出账号，直接访问这个url，可以直接查看学生敏感信息，直接垂直越权，中危+1，拿到证书

三、XX大学 水平越权

找到一个注册功能的系统，来到企业信息处，点击信息修改抓包



看到一个id值，把id修改成其他人的值，返回也是200



找到注册地方，验证一下，发现多了几处一样的信息，验证了水平越权，也可以注册两个号来验证



这个站很多地方都有userid，companyid字样，其他接口修改id传参返回包会提示越权操作，猜测就是存在越权漏洞被修复的，就尝试继续找越权点，中危证书+1

四、XX大学 nb的任意用户密码重置

证书站有的时候比的就是眼疾手快，下面直接展示

前台忘记密码功能



直接输入用户名和密码就能重置



直接修改成功



高危证书+1，比的就是眼疾手快，通过自己偏远资产定位的语法，从发布此新证书到提交此漏洞只用了不到5分钟。