本文的方法由于漏洞已修复,已无法实现。
背景
某学校的综合教务系统使用北京清元优软科技有限公司的(如图1),最近乌云爆出存在提升权限的漏洞1 。内联页面中的某个管理员菜单没有审核权限,导致其他权限的用户也可以访问。
操作如下:通过登录后把url后缀的loginAction.do
换成reportAction.do
就有了管理员权限的菜单,还能进入子菜单(如图2,图3)。
另有社工可以从人人网通过姓名查询到出生年月(如果对方设置公开的话),为暴力破解减少了密码循环范围(PS:所以说互联网大数据没有隐私啊)。
其次该校的图书馆研讨室预约系统可以通过姓名检索出学号(如图4)。
于是本猿就有了个大胆的想法。
▼图1
▼图2
▼图3
▼图4
本文目标
在已知姓名的情况下,通过多个漏洞暴力破解该同学账号。
所需储备知识
php的curl
的使用。
实现过程
1.从人人网找该校的某人社工其出生日期。
2.通过该校图书馆研讨预约系统可以输入姓名查询学号,学号即账号的不安全角度,获取其账号。
3.通过php的curl函数可以模拟登录,将社工的生日带入到程序暴力破解,并判断是否登录成功。如此反复暴力破解获取账号对应的密码(如图5)。
▼图5
总结
由于是纯数字,只需要写个单线程循环就行了hhhhh。由于防火墙没有限制(不知道为啥),快的5分钟,慢的半小时。
建议:该教务系统可以记录登录错误次数并冻结账号。
后记
一个月后发现提升权限的漏洞被修复了。该校的防火墙也做了限制。
- 我大乌云2016年7月20日被和谐了。默哀。 ↩
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。