前言

也有发布在先知 https://xz.aliyun.com/t/10915

0x1信息泄露

在url后面随便输入字符,页面报错得到框架为ThinkPHP3
32646-84x69voe9ku.png

然后我们尝试访问默认日志路径

Application/Runtime/Logs/控制器/年份_月份_日期.log

访问成功,不过每隔几分钟日志就会被自动删除

16192-h71e5od263e.png

0x2由日志泄露导致的任意用户注册

00939-fpzvq2udyjf.png

我们通过GitHub搜索 该校域名+邮箱关键字,成功找到一个可以登入的邮箱

96533-4nqu81c5xzk.png

然后登入
60042-w86x3cjigj.png
利用得到的邮箱进行注册,查看激活邮件URL构造

http://xxxxxxxxx.edu.cn/index.php/activation?accessToken=f6d785fb9470d5fd604fb8897778f740

81141-aqjc6ca1nhv.png

accessToken我们可以通过日志去查看,然后即可构造激活链接实现任意用户注册

edusrclalala@xxxxxxxx.edu.cn

36966-dca2o0p0f7.png

查看日志得到accessToken

65842-7qpsccetf9q.png

构造激活链接,访问成功激活
41621-o02hr44m8u.png

0x3sql注入

问题出现在验证手机号处
76533-bhjlk4sn5u.png

此处后端调用的阿里云发送短信,当发送次数过多后会触发号码天级流控,后端记录日志处xff未过滤导致的注入

77298-nsjyuhwnqsd.png

天级流控说明 https://developer.aliyun.com/ask/137083

87556-2rnximuwu01.png

0x04由日志泄露导致任意手机号绑定

随便填写手机号

82640-wvtstnhr0k.png

通过日志查看到正确的验证码

87682-7g9kr2d77ls.png

0x05平行越权

新增作文
06090-368rsf4d5cw.png

然后编辑
82066-2xng7sr0avr.png

修改url中的id即可越权操作编辑查看保存等操作

20359-9h5q8009e85.png

0x06 sql*2

删除作文处的数据包内的id参数未过滤存在注入

64760-e7xfc1095xv.png

0x07锦上添花存储xss

个人资料处的ueditor编辑器上xml

59022-9sq8yskujrv.png

alert
18569-5jzdt8i876m.png

最后修改:2022 年 04 月 24 日
  • 本文作者:Juneha
  • 本文链接:https://blog.mo60.cn/index.php/archives/158.html
  • 版权声明:本博客所有文章除特别声明外,均默认采用 CC BY-NC-SA 4.0 许可协议。
  • 文章声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任,本人坚决反对利用文章内容进行恶意攻击行为,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
如果觉得我的文章对你有用,请随意赞赏