玄说安全--入门圈成员培训成果（1）两个CVE案例

本篇文章来自 玄说安全—入门圈的学员分享，内容上并没有什么难度，但是对于从0入门的同学来说已属不易。分享出来是想鼓励那些还在入门边缘徘徊的同学，从简单逐渐深入，大胆实践；同时也是鼓励PolarPeak同学，继续努力，我们一起见证他的快速的成长。

PolarPeak

2019年02月18日 20:02

今天还是挺开心的，拿了两个CVE和一个CNVD证书！于是有了这篇文章，希望小伙伴们看到之后有所启发！

一、我是如何拿下学校教务系统的

某日对学校门户系统进行无意测试，首先我把门户系统功能点全部点了一遍，在用户设置查看那里看到可控参数

http://my.xxx.edu.cn/userAttributesView.portal?userId=学号

尝试利用搜索引擎找到了学校系统的类似系统管理员账号（非教师工号），逐个进行手工测试，发现系统管理员账号分为两个

一个是portal（教务处账号，管理学籍等）另外 一个账号位 amAdmin

构造一下链接

http://my.xxx.edu.cn/userAttributesView.portal?userId=portal

http://my.xxx.edu.cn/userAttributesView.portal?userId=amAdmin

然后，发生了神奇的事情

返回了用户的设置信息，仔细观察发现，这是密保问题

于是我们可以通过密保问题来重置账号了

我们先随便填一下，结果发现不对

然后我们根据返回的信息填写一下（卧槽，真的行！！）

此时我发现不仅能重置管理员的账号，老师的，学生的都可以

（此处想没想到该成绩呢？？）

后面就不必要继续搞了，写报告上报吧

还有很多学校可以搞

影响的高校还是比较多的，拿去CNVD结果给判定低危

原因：攻击复杂度高，需要进行一次认证

后来听团队一大佬说，扔到CVE试了试

结果真的可以

二、代码审计某CMS

我个人因为不懂PHP的原因，代码审计比较水（全靠运气），我主要关注点在追踪危险函数，SQL注入和简单的文件上传

本案例位SQL注入

我们关注一下标注的地方

发现参数未过滤被带入数据库进行查询的，那么就可能存在SQL注入漏洞

找到漏洞URL，放到SQLmap进行验证

任意文件上传，后台比较多的

有的时候你在渗透过程也能发现，后台有些上传是不限定格式的

于是就有了下面这些吧

第一次写文章，文笔不好大家见谅

想搞通用就要 耐心、细心！

大家加油！