Nday漏洞組合拳修改全校師生密碼

很久以前寫的文章了，發一下:)

本文是我真實的挖洞經歷。撰寫本文時相關學校已修復漏洞，相關漏洞也提交給了教育漏洞平台。純粹是挖洞經驗的總結和技術分享，由於敏感信息比較多，所以文章里面很多圖片已經面目全非了，望理解。。

 

平時不怎么挖漏洞，前幾周的某一個周末，為了兌換教育漏洞平台上的某學校的證書，對該學校官網進行測試，看能否發現漏洞。

登錄界面超好看。

看到左下角有一個信息門戶幫助手冊(下載)，我們下載來先看看。

 

 

 

這里我們可以看到有的情況是可以使用工號和學號進行登錄了，所以我們有必要花一些時間用學號和工號作為密碼測試能否登錄。

為了省事我們可以直接看學校的信息公開位置或者谷歌語法一波(Google hack)，有的學校因為沒有安全意識，會將學生和老師的一些隱私信息放在信息公開網上，比如說獎學金獲得者的學號信息這種，這就讓我們有了可趁之機。

這里我們找到了一個老師的工號/工號 登錄成功，涉及隱私信息的地方我就打碼了。

 

 

 

在這個位置我們先看看信息門戶網有漏洞不。

 

 

 

可以看到該大學信息門戶網的系統使用的是金智教育2010版本的，嗷，這么老的版本，肯定以前是爆出來過漏洞的，繼續使用谷歌大法。

 

 

 

大概看了一下，有兩個漏洞引起了我的注意，漏洞鏈接如下:

https://shuimugan.com/bug/view?bug_no=87297

https://shuimugan.com/bug/view?bug_no=84779

接下來的滲透也借鑒了第一個漏洞作者的思路。

第一個漏洞簡單來說，在登陸了老版本金智教育的系統之后，我們直接訪問http://ip/authorizeUsers.portal?limit=20，可以返回一個json格式的數據，包含教職工的姓名和工號等信息。

這里我們檢測一下該大學的信息門戶有沒有這個漏洞，回車出json。

 

 

 

這里由於我們limit后面設置的數字是20，所以返回了20條數據，同理，我們只要改變limit后面的數字，就可以增加獲取到的教職工數據。

第二個漏洞是修改密碼，我們訪問該大學的修改密碼的界面。

 

 

可以看出來，雖然說是可以通過兩種方式新設密碼，但是由於回答問題修改密碼的途徑之前爆出過漏洞（也就是上面的第二個鏈接），所以該大學網站的管理員已經刪除了通過回答密保問題修改密碼的途徑。

我們通過查看用戶信息的時候，發現用戶在注冊的時候也沒有填寫密保問題，可以看出來在這里這個漏洞是無法利用的了。

這時候換一個思路，雖然該大學將這個漏洞補上了，那應該會有大學沒有補這個修改密碼的漏洞，說干就干，還是谷歌大法，查找使用了這個系統的學校。

 

 

我們在找到時候其實就可以發現有的學校的網站已經因為這個系統被掛馬變成了澳門賭場了。。。

接着我們挨個測試即可，果然找到了一個粗心的管理員。

訪問http://ip/userAttributesView.portal?userId=portal

 

 

可以看到管理員設置的自己賬戶的密保問題的答案。

這里portal是門戶管理員的意思，即管理員所對應的ID，如果不正確的話我們可以多試幾次，像amAdmin這些，表示網站管理員沒有修改自己的默認ID。

緊接着我們到修改密碼的界面，修改的賬號就是portal

 

 

我們在這里輸入之前看到的管理員的密保問題答案即可，正確之后進入下一步。

 

 

這里的學校也填寫剛才的看到的答案。

最后來到直接輸入新密碼界面

 

 

 

ok,可以看到我們已經可以直接重置管理員的密碼了，這里對該學校的測試就到此為止，因為我們是未授權訪問，網站管理員的權限可以隨意修改學生成績，並且查看全校師生的隱私信息，可以知道危害極大。

當然我們並不想止步於此，在這里我想到之前那個大學信息門戶網有的那個遍歷全部師生學號/工號的漏洞，我們只能修改管理員的原因主要是因為管理員賬戶是網站的關鍵，還有另外一個原因就是因為我們只知道管理員的id。如果我們知道了所有師生的ID，那么我們是否可以修改全校所有人的信息門戶的密碼呢？

當然也是想到就做。

只要登錄過學校信息門戶網的小伙伴應該都知道，登錄id實際上就是教師的工號，學生的學號，所以在這里如果我們獲得了一個學生的學號，先修改他的密碼，利用其登錄的cookie，遍歷所有人的信息。

於是現在問題變成了如何找到一個登錄過校園信息門戶網的學號。

借鑒烏雲大神的思路，在該學校的百度貼吧里面尋找學號的信息，出乎意料的是，啥也沒找到，

 

 

很多都是一些兼職，還有快要畢業的PS學姐（懂的都懂）發布的消息，搜索的三十分鍾之后我就放棄了。

第二個方法就是谷歌語法，直接 學校名稱 學號 intype:xls，就可以找到很多的有學生學號的表格，這種信息大部分都是公開的，我們也可以利用里面的學號實現攻擊。

但這里我換了一個思路，百度貼吧找不到，那我們可以用另外的社交工具，比如:QQ

所以在QQ里面直接搜索 學校名稱表白牆，盲猜在學校的表白牆上面會有人發布撿到學生卡的信息，到時候借用一下該同學的學號。

果然這條思路也是可行的：

 

 

我們利用這位同學的學號進入信息門戶網。

修改密碼的過程之前講過一次，這里就不再贅述，毫無懸念的改好密碼之后登陸成功。

 

 

接着我們嘗試讀取學校學校師生的ID值，也是用跟之前的那個大學信息門戶網相同的方法，讀取成功。（隨便截了一些圖）

 

 

嗷，我們通過修改limit后的數值就可以獲取到更多的ID值，配合修改已知ID的賬戶密碼漏洞，我們就可以修改學校內任意一個同學信息門戶網的密碼然后進行登錄了，學生和老師的隱私也盪然無存了。

 

總結一下：

1，搜索引擎很重要，善於學會使用搜索引擎

2，信息搜集並不全是子域名搜集，敏感目錄爆破這些，可以換很多種思路，比如QQ群，公司的github等等。

3，遇到問題的時候不要急躁，多反向思考，以及參考前人的意見，很可能你的問題以前的大神已經解決了，謙虛學習。

4，管理自己網站的時候要經常跟着版本更新和及時打補丁，不然很容易會被Nday漏洞打穿

 

一起加油吧