文章总结： 本文分享了一次针对母校系统的实战渗透测试经历。作者通过GitHub搜索敏感信息获取凭证登录VPN，利用文件管理接口的参数解析缺陷，成功实现了任意文件读取与删除漏洞利用，并配合目录读取验证了危害。此外，还挖掘了用户信息泄露及越权访问漏洞，展示了逻辑漏洞与信息收集在实战中的关键作用。 综合评分： 88 文章分类： 实战经验,渗透测试,WEB安全,SRC活动,漏洞分析

删掉路径变量[path]，读取/etc/passwd下的文件

继续尝试读取，验证权限，读取/etc/shadow

成功读取

测试做全面，将文件操作的类的漏洞都测了

在文件管理处，任意选择一个文件，点击删除

POST /pcp/clusters/cluster1/file/rm?sf_request_type=fetch HTTP/1.1

path=%5BPATH%5D%2Fcluster1%2F202xxxxxx415%2Fhome%2Ftest.php&cluster_id=cluster1

返回成功

文件删除的漏洞师傅们不要随意测试

这里利用另外两个漏洞结合验证，目录读取+路径穿越

上传一个文件到根目录下，再尝试删除

从而验证任意文件删除

继续测试该系统其他漏洞

在burpsuite的数据包可以看到下面这个接口 /as/user/list?sf_request_type=fetch

存在个人信息，包含身份证

值得一提的是，泄露内容中包含一个参数id

疑似用户id

记录一下，后面如果存在对应功能点，可以尝试越权

在history中查找自己的id，找到一处路径

/as/user/find/id?sf_request_type=fetch.

这路径作用就很简单明了了，find-id

利用之前的获取的id信息尝试越权

分享文章就到这了

这里再次感谢子逸师傅为公众号做出的投稿内容

谢谢支持

这段实现承蒙梅苑师傅的转载，关注量大量增加

公众号人数突破千人

师傅们的认可就是对公众号的莫大支持，谢谢各位师傅

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：糖心安全 糖心饿不鼠《群友投稿–记第一次拿下证书，还得是自己母校》