SRC | 记一次EDU证书站挖掘

文章作者：先知社区（r0ngy40）

文章来源：https://xz.aliyun.com/news/91415

1►

叠甲

根据平台状态，该漏洞已被修复，分享文章主要分享经验并参与活动。未经许可严禁转载，转载需联系本人。文中内容仅限学习交流，严禁用于商业及非法用途，涉及网络安全相关未经授权不得测试，违规使用后果自负，与作者及本文无关 。

2►

边缘资产测绘

从证书站后几所学校锚定了一个目标，考虑到作为证书站的时间很长，常规的资产应该都被大手子们薅过了，于是尝试找找边缘资产。Hunter语法：web.title="xxxx大学"&&icp.number!="xxxxxxx"，找到了一处没有域名备案的ip站点。

3►

接口未授权

站点存在.map文件泄露，把文件拖下来然后还原前端文件，可以发现存在文件下载和上传接口。

4►

任意文件下载

查看api对应的代码逻辑得知文件上传的参数是常规file。

直接通过upload1接口上传文件，发现未对文件的内容和类型做限制。把响应包的base64解码可得到上传地址/datahome/attachment/2025-02-19/8f9689132e174fa5/test11111.jsp，但是直接访问发现404，FUZZ了好一会也没FUZZ出来文件存储的路径。

回头去看另一个下载的接口，直接尝试下载/etc/passwd发现报错，结合之前burp返回的路径是经过base64编码以及当前的Response反馈来看，fileName参数应该需要传递一个经过base64编码的路径值。

将路径编码之后发送Request，成功下载文件，看到普通用户包括datahome和elasticsearch。

5►

Bash History泄露凭据和Web路径

尝试读取/root/.ssh/id_rsa无果，尝试读取/root/.bash_history得到shell命令历史记录，在翻找历史记录中意外的得到了管理员账户凭据。

通过获得的账户凭据以管理员身份登入后台，后台有站点备案，顺带帮我完成了资产的归属确定问题。

6►

任意文件上传+路径穿越

在shell的历史记录中做进一步的检索，发现了运维人员修改过Web服务的配置文件，从而得知Web服务的绝对路径为/datahome/tomcat8_case/webapps/case。

已知默认情况下，我们上传的文件会被存储在/datahome/attachment/，如果我们能够文件名可控，我们可以想办法将文件上传到上述路径下，我们就可以直接访问了。

因此自然而然的想到，测试服务对于文件名是否存在路径穿越的过滤，很幸运的是并没有，后续上传了一个计算1+1的jsp文件来保证文件可解析，作为对于站点接口的概念性验证。

点到为止，高危美美到手。

文章来源：先知社区