某大學滲透實錄

0x01  信息搜集

首先給定的目標為 xxx 大學官網:www.xxx.edu.cn，但是不要真的就只是對主站進行測試了，一般像這種主站都是比較安全的，大概率采用一些站群系統，像學校很多使用博達的統一管理，自帶 waf

1.子域名采集

可以通過 subdomain3,fuzzdomain，subDomainsBrute,seay 子域名爆破

但是上述的我在此次滲透中並未使用，爆破時間太長了.

我用的 fofa，shadon 這些個網絡空間搜索引擎

比如下圖：

host="xxxx.edu.cn"

2.端口信息

通過上面 fofa 的結果，得知 ip 地址，使用端口掃描工具掃描。未發現可利用端口

然而很多站點的 ip 都是這個，感覺像是做的反向代理

遂放棄端口

3.敏感信息搜集

1. github 搜索
2. google hacking
3. 凌風雲網盤搜索

然后並沒有搜集到一些敏感的東西 郵箱使用的是騰訊的企業郵箱，vpn 是這個樣子的

然后搜集到的部分郵箱賬號如下圖

通過瀏覽網站，搜集到部分內網系統

通過查看統一認證平台的提示和部分社工得知 學生用學號加身份證后 6 位 (默認密碼) 可以登陸

於是呢 俺搜集了一波學號備用

  
  
  
          

   
   
   
           
site:xxx.edu.cn 學號 
  
  
  
          

0x02  漏洞挖掘

搜集了部分需要的信息，就開始對着各個子域名進行挖掘了，找了半天，大部分的系統都是采用的統一的模板，功能比較單一，並未發現什么漏洞

  
  
  
          

   
   
   
           
site:xxx.edu.cn inurl:login 
   
   
   
           
site:xxx.edu.cn intitle：登陸 
  
  
  
          

然后我便把重心放在了一些登陸系統上

然后找到了一處系統登陸

此時我記住了他的提示，用戶名和密碼為自己的工號，那么就是說這里面可能會有一些教師的工號信息，而正好運氣不錯，這個系統的系統管理員賬號是個弱口令

admin&admin 進入后台后，找到用戶信息，得知教師賬號為 5 位的數字，可以看到地址欄有 action，我測試了 str2，然后我在刷新網頁 打不開了，目測被封 ip...

然后知道了用戶規則，就寫個腳本做字典備用

  
  
  
          

   
   
   
           
#!/usr/bin/env python 
   
   
   
           
# -*- coding:utf-8 -*- 
   
   
   
           
# datetime :2019/7/10 8:44 
   
   
   
           
 
   
   
   
           
begin_num = 0 # 開始參數 從第幾個數字開始生成 
   
   
   
           
end_num = 20000 # 結束參數 到第n個參數停止 
   
   
   
           
print(""" 
   
   
   
           
 運行該腳本后，會在腳本所在目錄生成5.txt ，里面存放的是生成好的數字 
   
   
   
           
""") 
   
   
   
           
for i in range(begin_num, end_num + 1): 
   
   
   
           
 if i < 10: 
   
   
   
           
 i = "0000" + str(i) 
   
   
   
           
 elif i < 100: 
   
   
   
           
 i = "000" + str(i) 
   
   
   
           
 elif i < 1000: 
   
   
   
           
 i = "00" + str(i) 
   
   
   
           
 elif i < 10000: 
   
   
   
           
 i = "0"+str(i) 
   
   
   
           
 with open("5.txt", 'a') as f: 
   
   
   
           
 f.write(str(i) + "\n") 
   
   
   
           
 
   
   
   
           
print("程序運行完畢，文件已生成") 
  
  
  
          

然后就是在這個后台找注入啊 ，上傳啊，無果，遂記錄在文本，換另外的域名

然后看到選課系統

就是用學號做賬戶密碼，成功登陸進去

貌似沒什么用，但是這個我蛋疼的是，測試上傳的時候，改了個腳本格式的后綴，死活發不出去數據包，結果回到網頁刷新，鏈接被重置... 沒錯 我 ip 又被 ban 了...

然后我在嘗試爆破了一下教師賬戶，同樣是賬戶做密碼

進去后，四處看了看，還是沒能取的什么進展

用同樣的辦法，我進入了研究生管理系統、學生繳費查詢系統 (還真就是只查詢..)、最后在財務 xx 系統中稍微得到部分進展

是的 ，沒看錯，身份證號碼，於是我智障的試了 100 次，拿下了 14 個存在身份證的教師賬戶，不過貌似都是一些退休的教師，權限應該很低或者完全進不去

然后我來到了統一身份認證平台去試着登陸，結果登陸進去了..(教務登陸不進去)

於是在這里開始，算是有了突破。因為這里的部分系統沒有認證是無法打開的，比如這次的突破點：公寓管理系統

認證前打開:

認證后打開：

果然沒權限... 點擊重新登陸，就可以訪問這個系統

於是也證明了，這個系統只能是登陸過統一認證平台的用戶才能使用。然后恰巧這個系統存在一個 java 的反序列化漏洞

於是通過這個反序列化漏洞 (shiro 反序列化)，獲得了一個反彈 shell，機器為 root 權限

然后后面的就是代理流量啦，用的狗洞，就不多浪費口舌了...

然后發現一個從未見過的 waf

驚奇，二爺守的站，撤了撤了 ，對不起，打擾了。

0x03  總結

1.信息收集

子域名：fofa(host="xxxx.edu.cn")

端口收集：御劍掃描工具，網站采用反向代理端口只允許443或者80端口出網

敏感信息收集：

1.github收集（無源代碼泄露和郵箱泄露）

2.凌風雲網盤搜索（無百度網盤和騰訊網盤等敏感信息）

3.goog hack收集到

學號：site:xxx.edu.cn 學號

登錄：site:xxx.edu.cn inurl:login  或者 site:xxx.edu.cn intitle：登陸

2.預覽官網主頁鏈接獲得其他子域名系統、以及郵箱賬號

3.發現統一認證平台采用工號和身份證后6位數登錄

4.發現資產與實驗室平台使用工號作為用戶名和密碼，這里可以通過弱口令admin,admin進入系統

得到教師工號以及該系統存在struts2漏洞，被WAF攔截

5.發現選課中心，采用賬號和密碼都是學號和教師工號可進入系統。改系統存在文件上傳，也被WAF攔截

6.其他系統如研究生管理系統、學生繳費查詢系統、財務 xx 系統 都存賬號和密碼都是工號的可進入系統，可收集到

教師賬號綁定的身份證號碼。

7.得到教師賬號和身份證號碼可進入統一認證平台。可登錄到宿舍管理系統（前提需要先登錄統一認證系統）

8.宿舍管理系統存在shiro反序列漏洞，但是只能遠程反彈NC

原文鏈接：  https://www.xljtj.com/archives/dxst.html