imwxz

正方教务系统前端权限绕过0day
通用漏洞 状态:已修复
扫描右侧二维码阅读全文
26
2019/06

正方教务系统前端权限绕过0day

通用漏洞
状态:已修复

self-xss

我的应用模块,搜索框存在一个self-xss,payload:

<script>alert('na1ve');</script>

不过这个需要在打开我的应用菜单时才会生效,没有啥危害。

前端权限绕过

但是这个XSS却给了我们一个惊喜,如果把上面的payload填上去或者通过burp修改把字段的值改成空,后台将会返回所有的应用(绝大部分前台正常情况下不可见):
1.png
查看一下代码可以找到相应的URL和ID:
2.png
直接访问会各种报错,例如http://x.edu.cn/jlsgl/xssqjlsxm_cxXssqJlsxm.html这个学生申请交流项目,会出现空白或无功能权限等等,需要通过改包绕过。
比如点选课-自主选课,第一个POST请求将URL改成/jlsgl/xssqjlsxm_cxXssqJlsxm.html开头,参数改成gndm=N103520,第二个GET请求将URL改成/jlsgl/xssqjlsxm_cxXssqJlsxm.html开头即可绕过限制:
3.png

所有应用都可用此法绕过,看了看发现大部分都是信息读取类,可以读取到更多一般情况下读取不到的信息,比如个人信息那个就可以看到教务处的全部学生信息,而且因为应用很多不排除有其他利用点:)

时间节点

  • 2019-06-26 漏洞初次发现
  • 2019-06-26 漏洞上报
  • 2019-06-26 厂商确认,优先度高危,RANK 8/10
  • 2019-07-15 权限绕过被修复,XSS未修复
最后修改:2019 年 08 月 22 日 07 : 42 PM
如果觉得我的文章对你有用,请随意赞赏

2 条评论

  1. kang

    步骤能不能说的更详细一些呢?理解一下小白

    1. imwxz
      @kang

      刻意为之,有经验的自然会懂ヾ(´・ ・`。)ノ"

发表评论