0x01? 信息搜集

首先給定的目標為 xxx 大學官網(wǎng):www.xxx.edu.cn，但是不要真的就只是對主站進行測試了，一般像這種主站都是比較安全的，大概率采用一些站群系統(tǒng)，像學校很多使用博達的統(tǒng)一管理，自帶 waf

1.子域名采集

可以通過 subdomain3,fuzzdomain，subDomainsBrute,seay 子域名爆破

但是上述的我在此次滲透中并未使用，爆破時間太長了.

我用的 fofa，shadon 這些個網(wǎng)絡空間搜索引擎

比如下圖：

host="xxxx.edu.cn"

2.端口信息

通過上面 fofa 的結果，得知 ip 地址，使用端口掃描工具掃描。未發(fā)現(xiàn)可利用端口

然而很多站點的 ip 都是這個，感覺像是做的反向代理

遂放棄端口

3.敏感信息搜集

github 搜索

google hacking

凌風云網(wǎng)盤搜索

然后并沒有搜集到一些敏感的東西 郵箱使用的是騰訊的企業(yè)郵箱，vpn 是這個樣子的

然后搜集到的部分郵箱賬號如下圖

通過瀏覽網(wǎng)站，搜集到部分內(nèi)網(wǎng)系統(tǒng)

通過查看統(tǒng)一認證平臺的提示和部分社工得知 學生用學號加身份證后 6 位 (默認密碼) 可以登陸

于是呢 俺搜集了一波學號備用

• site:xxx.edu.cn 學號

0x02? 漏洞挖掘

搜集了部分需要的信息，就開始對著各個子域名進行挖掘了，找了半天，大部分的系統(tǒng)都是采用的統(tǒng)一的模板，功能比較單一，并未發(fā)現(xiàn)什么漏洞

• site:xxx.edu.cn inurl:login
• site:xxx.edu.cn intitle：登陸

然后我便把重心放在了一些登陸系統(tǒng)上

然后找到了一處系統(tǒng)登陸

此時我記住了他的提示，用戶名和密碼為自己的工號，那么就是說這里面可能會有一些教師的工號信息，而正好運氣不錯，這個系統(tǒng)的系統(tǒng)管理員賬號是個弱口令

admin&admin 進入后臺后，找到用戶信息，得知教師賬號為 5 位的數(shù)字，可以看到地址欄有 action，我測試了 str2，然后我在刷新網(wǎng)頁 打不開了，目測被封 ip...

然后知道了用戶規(guī)則，就寫個腳本做字典備用

• #!/usr/bin/env python
• # -*- coding:utf-8 -*-
• # datetime :2019/7/10 8:44
• begin_num = 0 # 開始參數(shù) 從第幾個數(shù)字開始生成
• end_num = 20000 # 結束參數(shù) 到第n個參數(shù)停止
• print("""
• 運行該腳本后，會在腳本所在目錄生成5.txt ，里面存放的是生成好的數(shù)字
• """)
• for i in range(begin_num, end_num + 1):
• if i < 10:
• i = "0000" + str(i)
• elif i < 100:
• i = "000" + str(i)
• elif i < 1000:
• i = "00" + str(i)
• elif i < 10000:
• i = "0"+str(i)
• with open("5.txt", 'a') as f:
• f.write(str(i) + "\n")
• print("程序運行完畢，文件已生成")

然后就是在這個后臺找注入啊 ，上傳啊，無果，遂記錄在文本，換另外的域名

然后看到選課系統(tǒng)

就是用學號做賬戶密碼，成功登陸進去

貌似沒什么用，但是這個我蛋疼的是，測試上傳的時候，改了個腳本格式的后綴，死活發(fā)不出去數(shù)據(jù)包，結果回到網(wǎng)頁刷新，鏈接被重置... 沒錯 我 ip 又被 ban 了...

然后我在嘗試爆破了一下教師賬戶，同樣是賬戶做密碼

進去后，四處看了看，還是沒能取的什么進展

用同樣的辦法，我進入了研究生管理系統(tǒng)、學生繳費查詢系統(tǒng) (還真就是只查詢..)、最后在財務 xx 系統(tǒng)中稍微得到部分進展

是的 ，沒看錯，身份證號碼，于是我智障的試了 100 次，拿下了 14 個存在身份證的教師賬戶，不過貌似都是一些退休的教師，權限應該很低或者完全進不去

然后我來到了統(tǒng)一身份認證平臺去試著登陸，結果登陸進去了..(教務登陸不進去)

于是在這里開始，算是有了突破。因為這里的部分系統(tǒng)沒有認證是無法打開的，比如這次的突破點：公寓管理系統(tǒng)

認證前打開:

認證后打開：

果然沒權限... 點擊重新登陸，就可以訪問這個系統(tǒng)

于是也證明了，這個系統(tǒng)只能是登陸過統(tǒng)一認證平臺的用戶才能使用。然后恰巧這個系統(tǒng)存在一個 java 的反序列化漏洞

于是通過這個反序列化漏洞 (shiro 反序列化)，獲得了一個反彈 shell，機器為 root 權限

然后后面的就是代理流量啦，用的狗洞，就不多浪費口舌了...

然后發(fā)現(xiàn)一個從未見過的 waf

驚奇，二爺守的站，撤了撤了 ，對不起，打擾了。

0x03? 總結

1.信息收集子域名：fofa(host="xxxx.edu.cn")端口收集：御劍掃描工具，網(wǎng)站采用反向代理端口只允許443或者80端口出網(wǎng)敏感信息收集：1.github收集(無源代碼泄露和郵箱泄露)2.凌風云網(wǎng)盤搜索(無百度網(wǎng)盤和騰訊網(wǎng)盤等敏感信息)3.goog hack收集到學號：site:xxx.edu.cn 學號登錄：site:xxx.edu.cn inurl:login? 或者 site:xxx.edu.cn intitle：登陸2.預覽官網(wǎng)主頁鏈接獲得其他子域名系統(tǒng)、以及郵箱賬號3.發(fā)現(xiàn)統(tǒng)一認證平臺采用工號和身份證后6位數(shù)登錄4.發(fā)現(xiàn)資產(chǎn)與實驗室平臺使用工號作為用戶名和密碼，這里可以通過弱口令admin,admin進入系統(tǒng)得到教師工號以及該系統(tǒng)存在struts2漏洞，被WAF攔截5.發(fā)現(xiàn)選課中心，采用賬號和密碼都是學號和教師工號可進入系統(tǒng)。改系統(tǒng)存在文件上傳，也被WAF攔截6.其他系統(tǒng)如研究生管理系統(tǒng)、學生繳費查詢系統(tǒng)、財務 xx 系統(tǒng) 都存賬號和密碼都是工號的可進入系統(tǒng)，可收集到教師賬號綁定的身份證號碼。7.得到教師賬號和身份證號碼可進入統(tǒng)一認證平臺?？傻卿浀剿奚峁芾硐到y(tǒng)(前提需要先登錄統(tǒng)一認證系統(tǒng))8.宿舍管理系統(tǒng)存在shiro反序列漏洞，但是只能遠程反彈NC原文鏈接：?https://www.xljtj.com/archives/dxst.html

總結

以上是生活随笔為你收集整理的某大学渗透实录的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。