由于漏洞涉及敏感信息,故重码。师傅们看看思路就好。 大佬们勿喷
某学校师生事物大厅由信息泄露导致的逻辑越权漏洞
发现需要学号 以及身份证 后六位
这里信息收集到
信息收集到该校学生学号以及身份证后六位 弱口令进去
成功进入 点击我的。
点击姓名 进入详情页面。
0x01: 越权修改其他用户密码。
点击头像。进入
点击修改密码 抓包
修改123456测试,发现回显成功
修改学号,
回显成功,利用修改的账户登录一下看看。
成功登录,任意用户密码重置。
ps:测试后,已修改回默认密码。
点击我的档案 进入详情页面。
点击查看档案
点击个人基本信息
然后bp抓包
然后弹出学号信息
发送repeater查看回显
发现可以查看到该生的个人姓名,身份证号,性别等。
尝试修改学号
成功越权到 可以查看更换学号的学生信息。
收集该校其他学生学号,发现该校14届的学生信息也可以查看,这里可以确定可以遍历全校的学生信息了
数据包:
GET http://xx.xx.xx.xx HTTP/1.1
Host: xxxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
token: 196a13a372b148c290f5d6e7eaeddf08
Origin: xxx
Connection: close
Referer: dxxxxx
此处为第一处越权。
返回个人档案,查看联系信息 同样抓包,放掉第一个
然后第二个包发到repeater里面
查看回显,发现可以看到该生手机号,邮箱,QQ,微信,在校地址,家庭地址,邮编等,这些字段如果学生填写,那么都有。造成了严重的安全信息泄露。
尝试修改学号
存在同样的问题 可以一样可以查看
此处是第二处越权。
点击卡号信息,同样抓包
同样的操作,可以看到该学生的银行卡信息,
修改学号,也可以越权。
此处为第三处越权。
同样 家庭成员处也有越权
经测试,以上六个功能点全部都存在越权漏洞。
同时 ,该校还有第二课堂,其中有所有在校生的学号,以及网上公开的已毕业的学生的学号,数据可以查到全校信息。
ps: 第二课堂链接就不放了,现在已经修复了,学号也打码且做了访问限制。
共有7处越权漏洞,其中越权后信息泄漏的字段包括姓名 姓名 学号 手机号 QQ号 微信号 身份证号 家庭住址 民族
家庭联系人电话,姓名 邮箱 等等。造成了极其大的危险,也就是 有该校学生的学号,就可以通过学号或者工号 获取到对应信息。
其中任意密码重置可以修改任意用户的密码。