由弱口令到遍历全校师生信息--逻辑越权思路。

写在开头

由于漏洞涉及敏感信息，故重码。师傅们看看思路就好。 大佬们勿喷

正文

某学校师生事物大厅由信息泄露导致的逻辑越权漏洞

image-20230402121935717

发现需要学号 以及身份证 后六位

这里信息收集到

image-20230402122135917

信息收集到该校学生学号以及身份证后六位 弱口令进去

成功进入 点击我的。

image-20230402122248567

点击姓名 进入详情页面。

image-20230402122319944

0x01： 越权修改其他用户密码。

点击头像。进入

image-20230402122501407

点击修改密码 抓包

image-20230402122534379

修改123456测试，发现回显成功

修改学号，

image-20230402122637223

回显成功，利用修改的账户登录一下看看。

image-20230402122657030

成功登录，任意用户密码重置。

ps:测试后，已修改回默认密码。

点击我的档案 进入详情页面。

image-20230402122741609

点击查看档案

image-20230402122802247

点击个人基本信息

然后bp抓包

image-20230402122854779

然后弹出学号信息

发送repeater查看回显

image-20230402123006633

发现可以查看到该生的个人姓名，身份证号，性别等。

尝试修改学号

image-20230402123116551

成功越权到 可以查看更换学号的学生信息。

image-20230402123206993

收集该校其他学生学号，发现该校14届的学生信息也可以查看，这里可以确定可以遍历全校的学生信息了

数据包：

GET http://xx.xx.xx.xx  HTTP/1.1

Host: xxxx

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0

Accept: application/json, text/plain, */*

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

token: 196a13a372b148c290f5d6e7eaeddf08

Origin: xxx

Connection: close

Referer: dxxxxx

此处为第一处越权。

返回个人档案，查看联系信息 同样抓包，放掉第一个

image-20230402123312294

然后第二个包发到repeater里面

image-20230402123358037

查看回显，发现可以看到该生手机号，邮箱，QQ，微信，在校地址，家庭地址，邮编等，这些字段如果学生填写，那么都有。造成了严重的安全信息泄露。

image-20230402123450977

尝试修改学号

存在同样的问题 可以一样可以查看

image-20230402123531701

此处是第二处越权。

image-20230402123545613

点击卡号信息，同样抓包

同样的操作，可以看到该学生的银行卡信息，

image-20230402123633953

修改学号，也可以越权。

image-20230402123723985

此处为第三处越权。

同样 家庭成员处也有越权

image-20230402123848369

image-20230402123901671

经测试，以上六个功能点全部都存在越权漏洞。

同时 ，该校还有第二课堂，其中有所有在校生的学号，以及网上公开的已毕业的学生的学号，数据可以查到全校信息。

ps: 第二课堂链接就不放了，现在已经修复了，学号也打码且做了访问限制。

结尾

共有7处越权漏洞，其中越权后信息泄漏的字段包括姓名 姓名 学号 手机号 QQ号 微信号 身份证号 家庭住址 民族

家庭联系人电话，姓名 邮箱 等等。造成了极其大的危险，也就是 有该校学生的学号，就可以通过学号或者工号 获取到对应信息。

其中任意密码重置可以修改任意用户的密码。