4.10.业务逻辑漏洞笔记某高校公众号任意文件上传加上未授权接口注入

前言

没错&＃xff0c;我又来水漏洞了&＃xff0c;&＃xff0c;这两天挖的都是排名靠前的高校资产&＃xff0c;&＃xff0c;确实很多都挖不动了。。

0x00 一些题外话
不知道是不是挖的资产之前都给挖过了&＃xff0c;&＃xff0c;总之找到了好几个学生和职工的信息接口&＃xff0c;但都被删掉了。很气愤&＃xff0c;因为之前也挖到了一些弱资产&＃xff0c;比如&＃xff0c;登录是学号/职工号&＃xff0c;&＃xff0c;密码类似ABCD&＃43;SFZ后四位这种弱资产。没办法打组合拳。
0x01. 某前台任意文件上传

这里就常规测一下文件上传&＃xff0c;能传的话安服给中危&＃xff0c;没有就算了&＃xff0c;&＃xff0c;结果这里没做过滤。

挖到这个洞和我没啥关系&＃xff0c;&＃xff0c;只是那些内卷的人还没挖&＃xff0c;或者这个不收&＃xff0c;&＃xff0c;

接着往下看&＃xff0c;&＃xff0c;&＃xff0c;这个我就挺无语了。

0x02,未授权接口注入

还是他高校某个公众号&＃xff0c;&＃xff0c;我在想手上有一些毕业生的学号啥的&＃xff0c;可以打打校友这类的

点进去后密密麻麻的请求包&＃xff0c;都是有关wechatconfig的&＃xff0c;&＃xff0c;

我心想点了这么多业务&＃xff0c;为何出现了一堆webconfig&＃xff0c;&＃xff1f;&＃xff1f;&＃xff1f;

后面找到一个解释是&＃xff0c;是微信开发文档&＃xff0c;JDK啥的通过config来鉴权的。
然后&＃xff0c;花了将近一个小时&＃xff0c;&＃xff0c;顺着开发的逻辑&＃xff0c;去点里面的业务&＃xff0c;&＃xff0c;从这里一堆40多个请求中&＃xff0c;&＃xff0c;找到这样一个接口&＃xff0c;&＃xff0c;

我也不知道这是啥&＃xff0c;看到返回包里有id&＃xff0c;name&＃xff0c;图片&＃xff0c;猜测这里可能有sqli
然后&＃xff0c;在他分页的位置加了个’&＃xff0c;果不其然&＃xff0c;&＃xff0c;找到一个sqli&＃xff0c;&＃xff0c;

&＃xff0c;难道说这就是所谓的耐心么&＃xff1f;抱着这样的态度&＃xff0c;&＃xff0c;决定再打一个资产&＃xff0c;&＃xff0c;

0x03&＃xff0c;&＃xff0c;未授权接口*2

在挖下一个接口&＃xff0c;&＃xff0c;我又补充了一点内容&＃xff0c;&＃xff0c;就是为啥要找接口&＃xff1f;

登录页面js里存在很多接口&＃xff0c;&＃xff0c;而且看接口要注意观察路径&＃xff0c;接口是不会做校验的。。。

因为接口如果存在东西的话&＃xff0c;他很可能不做检验&＃xff0c;&＃xff0c;在信息收集很差的情况下&＃xff0c;绕过前端&＃xff0c;能获取很多数据&＃xff0c;&＃xff0c;有进一步利用的成本。

找到一处只用学号和院系就能登录的地方&＃xff0c;&＃xff0c;
然后抓包登录&＃xff0c;看到请求的是一处reg.html&＃xff0c;&＃xff0c;

然后下一个接口&＃xff0c;看到了一处惊喜&＃xff0c;有一处role_id&＃61;2的关键字段

改了字段&＃xff0c;发现已经某个调查页面了&＃xff0c;&＃xff0c;然后只能填一个问卷&＃xff0c;&＃xff0c;说真的有点搞心态&＃xff0c;&＃xff0c;这里有权限登记&＃xff0c;为啥登录后不存在api个人中心这种内容呢&＃xff0c;

看这里的源码&＃xff0c;发现对个人资料进行了注释&＃xff0c;&＃xff0c;我猜想是不是被挖了还是开发的安全意识到位&＃xff1f;
去掉这段代码后&＃xff0c;&＃xff0c;出现了个人中心

访问404&＃xff0c;&＃xff0c;好无语&＃xff0c;&＃xff0c;
然后&＃xff0c;看历史包。发现他有一个wxtp的地址&＃xff0c;请求发现是一个问卷调查的后台&＃xff0c;&＃xff0c;而且没有验证码校验

发现前期信息收集这里因为没找到目录&＃xff0c;返回404&＃xff0c;&＃xff0c;这些都是隐藏的资产&＃xff0c;不知道能不能进去&＃xff0c;&＃xff0c;测试admin存在&＃xff0c;&＃xff0c;

可惜了&＃xff0c;没跑出来&＃xff0c;&＃xff0c;&＃xff0c;那就这样吧&＃xff0c;&＃xff0c;&＃xff0c;