声明

本篇文章漏洞目前已经修复，关键信息已经打码，为提供渗透思路，仅供参考学习。

0x1 前言

前些天edu过了一个证书站漏洞，奈何证书兑换积分还差一些，从而有了本次的渗透测试。

0x2 渗透测试

通过信息收集，找到了某大学的一个考试系统，直接开干

查看登陆页面，发现存在老师和学生两类用户，这个后面有用，稍后再说，常规的弱口令、登陆绕过、未授权访问都试了试，无果，随即F12查看前端代码，看看有没有什么特殊路径泄露，经过查看，在源码中看到了另一个登陆路径：competition/login.html，随即拼接进行访问，来到了另一个登陆页面，发现右下角有注册功能，点击访问。

随即来到了注册页面，经过查看，发现在任课教师一栏，可以选择对应的教师，而且教师姓名后会附带对应的工号，这种工号还是比较敏感的，因为有的学校系统的默认账号密码就是老师的工号，将里面的工号收集下来，使用工号+工号的模式，返回最开始的登陆页面，使用bp的Intruder模块进行爆破

不出意料，直接爆破成功，得到了两位老师的账号，都是管理员权限，成功进入系统。

可以查看和管理该大学多个学院的人员班级和考试信息。

既然弱口令进来的话，就顺便测一下是否存在其他漏洞，从而扩大危害，这时候发现在教师一栏，存在个人资料，想着测试一下是否存在越权漏洞，查看他人的个人资料。

点击个人资料，使用bp进行抓包拦截，发现存在id参数，直接对id参数进行遍历，结果返回了全站教师用户及超级管理员的账号密码身份证手机号等敏感信息（那很爽了）

再次查看上面的数据包，发现还存在ut=1这个参数，刚刚首页发现存在教师和学生两种用户类型，将参数1改为2，再次对参数id进行遍历，果不其然，得到了全站学生用户的个人信息。

还是再看系统登录页面，发现下方存在系统开发公司的名称，盲猜其他学校的这个系统也可能存在这个漏洞。

随即使用鹰图搜索：body=XXX科技有限公司，发现多个学校使用了这套系统，经过测试，也是成功拿下了小通杀，打完收工。

0x3 总结

漏洞总体来说是比较简单的，由于只想混分，主打一个速战速决，但是还是要注意一些小细节，惊喜说不定就在某一个角落等着你来发现。