某大学渗透实录

ゝ一纸荒年。 2024-04-07 10:43 52阅读 0赞

### **0x01 信息搜集** ###

首先给定的目标为 xxx 大学官网:www.xxx.edu.cn，但是不要真的就只是对主站进行测试了，一般像这种主站都是比较安全的，大概率采用一些站群系统，像学校很多使用博达的统一管理，自带 waf

##### **1.子域名采集** #####

可以通过 subdomain3,fuzzdomain，subDomainsBrute,seay 子域名爆破

但是上述的我在此次渗透中并未使用，爆破时间太长了.

我用的 fofa，shadon 这些个网络空间搜索引擎

比如下图：

host="xxxx.edu.cn"

![2a584012449393e4a2e23d98f8b722f8.png][]

#### **2.端口信息** ####

通过上面 fofa 的结果，得知 ip 地址，使用端口扫描工具扫描。未发现可利用端口

![30a402bdebf6636ebee14cfe06f50695.png][]

然而很多站点的 ip 都是这个，感觉像是做的反向代理

遂放弃端口

#### **3.敏感信息搜集** ####

1.  github 搜索
2.  google hacking
3.  凌风云网盘搜索

然后并没有搜集到一些敏感的东西 邮箱使用的是腾讯的企业邮箱，vpn 是这个样子的

![1dfc3f99defea3c0dda39ec3ec242dcf.png][]

然后搜集到的部分邮箱账号如下图

![3c7dab9ad73e57492a05152d6429616d.png][]

通过浏览网站，搜集到部分内网系统

![8af6f9ce21b47b9d1f2ccf06da2b5aaa.png][]

通过查看统一认证平台的提示和部分社工得知 学生用学号加身份证后 6 位 (默认密码) 可以登陆

![bbfc2fcd2487a02988a496afdce4a525.png][]

于是呢 俺搜集了一波学号备用

*  site:xxx.edu.cn 学号

![22fd47d75564752c57b58aae3e33b44d.png][]

### **0x02 漏洞挖掘** ###

搜集了部分需要的信息，就开始对着各个子域名进行挖掘了，找了半天，大部分的系统都是采用的统一的模板，功能比较单一，并未发现什么漏洞

*  site:xxx.edu.cn inurl:login
 *  site:xxx.edu.cn intitle：登陆

然后我便把重心放在了一些登陆系统上

![0b7f9f766b227ff35cbe1a0b661e3a0a.png][]

然后找到了一处系统登陆

![e8a1542bfab928d51dc1bbe230390ead.png][]

此时我记住了他的提示，用户名和密码为自己的工号，那么就是说这里面可能会有一些教师的工号信息，而正好运气不错，这个系统的系统管理员账号是个弱口令

admin&admin 进入后台后，找到用户信息，得知教师账号为 5 位的数字，可以看到地址栏有 action，我测试了 str2，然后我在刷新网页 打不开了，目测被封 ip...

![5291fe73578186fc83e5caa574f32d73.png][]

然后知道了用户规则，就写个脚本做字典备用

*  \#!/usr/bin/env python
 *  \# -\*- coding:utf-8 -\*-
 *  \# datetime :2019/7/10 8:44
 *  
 *  begin\_num = 0 \# 开始参数 从第几个数字开始生成
 *  end\_num = 20000 \# 结束参数 到第n个参数停止
 *  print(""" 
 *   运行该脚本后，会在脚本所在目录生成5.txt ，里面存放的是生成好的数字 
 *  """) 
 *  for i in range(begin\_num, end\_num + 1): 
 *  if i < 10: 
 *   i = "0000" \+ str(i) 
 *  elif i < 100: 
 *   i = "000" \+ str(i) 
 *  elif i < 1000: 
 *   i = "00" \+ str(i) 
 *  elif i < 10000: 
 *   i = "0"\+str(i) 
 *  with open("5.txt", 'a') as f: 
 *   f.write(str(i) + "\\n") 
 *  
 *  print("程序运行完毕，文件已生成")

然后就是在这个后台找注入啊 ，上传啊，无果，遂记录在文本，换另外的域名

然后看到选课系统

![b341e3120fc1a75da4a71c19997f2368.png][]

就是用学号做账户密码，成功登陆进去

![c33c87ea1a89ba4a2e34dba3d92eb22f.png][]

貌似没什么用，但是这个我蛋疼的是，测试上传的时候，改了个脚本格式的后缀，死活发不出去数据包，结果回到网页刷新，链接被重置... 没错 我 ip 又被 ban 了...

然后我在尝试爆破了一下教师账户，同样是账户做密码

![cdd6f2e4d3d0ae2aa8284fc9e70015a6.png][]

进去后，四处看了看，还是没能取的什么进展

用同样的办法，我进入了研究生管理系统、学生缴费查询系统 (还真就是只查询..)、最后在财务 xx 系统中稍微得到部分进展

![64cce71ac88cf6a471bfe9f3d9709314.png][]

是的 ，没看错，身份证号码，于是我智障的试了 100 次，拿下了 14 个存在身份证的教师账户，不过貌似都是一些退休的教师，权限应该很低或者完全进不去

然后我来到了统一身份认证平台去试着登陆，结果登陆进去了..(教务登陆不进去)

![7e1714535d227f2e8b3c4f0b6f81e2b4.png][]

于是在这里开始，算是有了突破。因为这里的部分系统没有认证是无法打开的，比如这次的突破点：公寓管理系统

认证前打开:

![539d4c759cab2d3325e8607a3c47a892.png][]

认证后打开：

![25311381500d3cb682a206f6f906ad14.png][]

果然没权限... 点击重新登陆，就可以访问这个系统

![4fd48c481e3dbd68ed738e5ba6dabcc9.png][]

于是也证明了，这个系统只能是登陆过统一认证平台的用户才能使用。然后恰巧这个系统存在一个 java 的反序列化漏洞

于是通过这个反序列化漏洞 (shiro 反序列化)，获得了一个反弹 shell，机器为 root 权限

![9629527a6dea43dbc47ff46e21e6549d.png][]

然后后面的就是代理流量啦，用的狗洞，就不多浪费口舌了...

然后发现一个从未见过的 waf

![e087f7051f3a6aaa4640c20e8d90fc3d.png][]

惊奇，二爷守的站，撤了撤了 ，对不起，打扰了。

### **0x03 总结** ###

1.信息收集

> > 子域名：fofa(host="xxxx.edu.cn")
> 
> > 端口收集：御剑扫描工具，网站采用反向代理端口只允许443或者80端口出网
> 
> > 敏感信息收集：
> 
> > 1.github收集(无源代码泄露和邮箱泄露)
> 
> > 2.凌风云网盘搜索(无百度网盘和腾讯网盘等敏感信息)
> 
> > 3.goog hack收集到
> 
> > 学号：site:xxx.edu.cn 学号
> 
> > 登录：site:xxx.edu.cn inurl:login 或者 site:xxx.edu.cn intitle：登陆

2.预览官网主页链接获得其他子域名系统、以及邮箱账号

3.发现统一认证平台采用工号和身份证后6位数登录

4.发现资产与实验室平台使用工号作为用户名和密码，这里可以通过弱口令admin,admin进入系统

得到教师工号以及该系统存在struts2漏洞，被WAF拦截

5.发现选课中心，采用账号和密码都是学号和教师工号可进入系统。改系统存在文件上传，也被WAF拦截

6.其他系统如研究生管理系统、学生缴费查询系统、财务 xx 系统 都存账号和密码都是工号的可进入系统，可收集到

教师账号绑定的身份证号码。

7.得到教师账号和身份证号码可进入统一认证平台。可登录到宿舍管理系统(前提需要先登录统一认证系统)

8.宿舍管理系统存在shiro反序列漏洞，但是只能远程反弹NC

原文链接： [https://www.xljtj.com/archives/dxst.html][https_www.xljtj.com_archives_dxst.html]

[2a584012449393e4a2e23d98f8b722f8.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/c41ebb6f8ba9485ea6fc0f177d49c965.png
[30a402bdebf6636ebee14cfe06f50695.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/d0ceb50ec066476f8c4f931156c06f3e.png
[1dfc3f99defea3c0dda39ec3ec242dcf.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/cd4973ad1e04445dbf9ebcb42590f0e2.png
[3c7dab9ad73e57492a05152d6429616d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/0275e97b3d764b28b22748ede848d62d.png
[8af6f9ce21b47b9d1f2ccf06da2b5aaa.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/d0d32d3c570b4a559fd251d5b5fa11af.png
[bbfc2fcd2487a02988a496afdce4a525.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/91a0881ec8a14d2bbf5e98c60e9e193f.png
[22fd47d75564752c57b58aae3e33b44d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/1a2f018fd4be4df1b4f0d64f1e643ce6.png
[0b7f9f766b227ff35cbe1a0b661e3a0a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/b9389021e30c47acb4a62e268ad89fc0.png
[e8a1542bfab928d51dc1bbe230390ead.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/b7faa38b72bd4761910ea7c8cd72a8df.png
[5291fe73578186fc83e5caa574f32d73.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/c2b7d46dbe8a4d569f16177a3fcb469d.png
[b341e3120fc1a75da4a71c19997f2368.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/9aa6de419570452a9cd5f8a52c1a8da7.png
[c33c87ea1a89ba4a2e34dba3d92eb22f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/79525241fe3d45c2a1f7583a5e4c5016.png
[cdd6f2e4d3d0ae2aa8284fc9e70015a6.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/a545c12faeac4f0b9a1de4a5bf69afc2.png
[64cce71ac88cf6a471bfe9f3d9709314.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/f7d43dfb699344eab3893fedd5f66a0f.png
[7e1714535d227f2e8b3c4f0b6f81e2b4.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/53a6b36180bf40c7a723c1a15091a309.png
[539d4c759cab2d3325e8607a3c47a892.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/9fdcadc953784f8480ae0fa2edaf4ebf.png
[25311381500d3cb682a206f6f906ad14.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/6fdb7f73ee45466a832f809612754d37.png
[4fd48c481e3dbd68ed738e5ba6dabcc9.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/9a2eb2f6de294df599246681ed3ebc1a.png
[9629527a6dea43dbc47ff46e21e6549d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/042ca6cd98a1490f929ebb4e5af67049.png
[e087f7051f3a6aaa4640c20e8d90fc3d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/8b9b762dd2fc4316a9fe5dae51cde2a4.png
[https_www.xljtj.com_archives_dxst.html]: https://www.xljtj.com/archives/dxst.html