记一次对南开大学梅开三度的渗透测试

以下篇幅涉及漏洞均已修复。

梅开一度

开局发现南开某站点登陆界面可以枚举用户，且验证码拦截不会刷新。

直接上burp枚举用户名，发现存在guest测试账户，且密码为123456 。成功登陆之后，权限为普通用户权限，测试了一波常见漏洞无果，发现上传居然强改后缀，哈哈哈哈，我绕个de

既然在这里毫无进展，fofa搜索同类型站点。找到一个类似测试站点，直接爆破admin账户。

发现存在弱口令，直接以admin账户登录，测试其余功能点，发现其大部分系统功能主要通过get传参，其中以admin账户设置为例

将get传参部分单独拉出来拼接至url链接中，可正常访问，

直接复制链接，新开个浏览器访问提示

猜测应该是未登录的情况下访问才会出现上述情况，结合之前对南开某站的探测，登录之后尝试访问此链接。

好家伙，继续测试其他功能点，发现后台权限做的乱七八糟，普通用户和管理用户，平起平坐的那种。提交至平台。

梅开二度

过了几天修复了，

上去测了一波，确实发现上诉问题已经得到了解决，但有些功能点还是没有做好权限校验，这个我们后面会用哈哈哈，先留着，且账户密码被改了，又是相同的手法，我又去同类型站点转了转，又发现给很有意思的东西

这cookie就是个摆设哇，原来，直接提出来，拼接url，越权到admin账户已提交至平台

梅开三度

过两天一看又修复了。

上去fuzz一遍，确实不存在上述漏洞了，但是梅开二度的时候提到了部分权限还是没有做好。例如越权添加账户哪里，虽然显示未登录，但还是可以操作，点击确定，用burp抓包拦截，同时浏览器点击那个 X 停止加载。停止加载后就可以把那个deafult那个包放掉或者dorp掉，只要能get到提交

之后添加用户——点击马上添加，之后退出这个页面即可

进入登陆页面，我们使用添加过的账户随意输入一个密码登录

发现密码错误，直接上burp爆破密码——可以看出他的默认密码就是12345678

成功登陆，也是一个管理员权限，注意看账户类型——之前打进来的时候admin账户也是 T 类型的，所以你懂得。

不过相对于admin用户权限低一点，这个时候。直接越权，查看admin才能查看的内容，同是管理员，相信也是可以的。

最后，提交平台已过。