MENU

某大学渗透实录-已授权测试

November 7, 2019 • 渗透测试,安全工具,内网渗透,后渗透,实战

二爷护体

0x01 信息搜集
首先给定的目标为xxx大学官网:www.xxx.edu.cn,但是不要真的就只是对主站进行测试了,一般像这种主站都是比较安全的,大概率采用一些站群系统,像学校很多使用博达的统一管理,自带waf

0x01x0 子域名采集
可以通过subdomain3,fuzzdomain,subDomainsBrute,seay子域名爆破

但是上述的我在此次渗透中并未使用,爆破时间太长了.

我用的fofa,shadon这些个网络空间搜索引擎

比如下图:

1.png

0x01x01 端口信息
通过上面fofa的结果,得知ip地址,使用端口扫描工具扫描。未发现可利用端口

2.png

然而很多站点的ip都是这个,感觉像是做的反向代理

遂放弃端口

0x01x02 敏感信息搜集

  1. github搜索
  2. google hacking
  3. 凌风云网盘搜索

然后并没有搜集到一些敏感的东西 邮箱使用的是腾讯的企业邮箱,vpn是这个样子的

3.png

然后搜集到的部分邮箱账号如下图

44.png

通过浏览网站,搜集到部分内网系统

5.png

通过查看统一认证平台的提示和部分社工得知 学生用学号加身份证后6位(默认密码)可以登陆

6.png

于是呢 俺搜集了一波学号备用

site:xxx.edu.cn 学号

7.png

0x02 漏洞挖掘
搜集了部分需要的信息,就开始对着各个子域名进行挖掘了,找了半天,大部分的系统都是采用的统一的模板,功能比较单一,并未发现什么漏洞

site:xxx.edu.cn inurl:login
site:xxx.edu.cn intitle:登陆

然后我便把重心放在了一些登陆系统上

88.png

然后找到了一处系统登陆

99.png

此时我记住了他的提示,用户名和密码为自己的工号,那么就是说这里面可能会有一些教师的工号信息,而正好运气不错,这个系统的系统管理员账号是个弱口令

admin&admin 进入后台后,找到用户信息,得知教师账号为5位的数字,可以看到地址栏有action,我测试了str2,然后我在刷新网页 打不开了,目测被封ip...

10.png

然后知道了用户规则,就写个脚本做字典备用

#!/usr/bin/env python
# -*- coding:utf-8 -*-
# datetime  :2019/7/10 8:44

begin_num = 0 # 开始参数 从第几个数字开始生成
end_num = 20000 # 结束参数 到第n个参数停止
print("""
    运行该脚本后,会在脚本所在目录生成5.txt ,里面存放的是生成好的数字
""")
for i in range(begin_num, end_num + 1):
    if i < 10:
        i = "0000" + str(i)
    elif i < 100:
        i = "000" + str(i)
    elif i < 1000:
        i = "00" + str(i)
    elif i < 10000:
        i = "0"+str(i)
    with open("5.txt", 'a') as f:
        f.write(str(i) + "\n")

print("程序运行完毕,文件已生成")

然后就是在这个后台找注入啊 ,上传啊,无果,遂记录在文本,换另外的域名

然后看到选课系统

11.png

就是用学号做账户密码,成功登陆进去

12.png

貌似没什么用,但是这个我蛋疼的是,测试上传的时候,改了个脚本格式的后缀,死活发不出去数据包,结果回到网页刷新,链接被重置... 没错 我ip又被ban了...

然后我在尝试爆破了一下教师账户,同样是账户做密码

13.png

进去后,四处看了看,还是没能取的什么进展

用同样的办法,我进入了研究生管理系统、学生缴费查询系统(还真就是只查询..)、最后在财务xx系统中稍微得到部分进展

14.png

是的 ,没看错,身份证号码,于是我智障的试了100次,拿下了14个存在身份证的教师账户,不过貌似都是一些退休的教师,权限应该很低或者完全进不去

然后我来到了统一身份认证平台去试着登陆,结果登陆进去了..(教务登陆不进去)

155.png

于是在这里开始,算是有了突破。因为这里的部分系统没有认证是无法打开的,比如这次的突破点:公寓管理系统

认证前打开:

16.png

认证后打开:

17.png

果然没权限... 点击重新登陆,就可以访问这个系统
18.png

于是也证明了,这个系统只能是登陆过统一认证平台的用户才能使用。然后恰巧这个系统存在一个java的反序列化漏洞

于是通过这个反序列化漏洞(shiro 反序列化),获得了一个反弹shell,机器为root权限

19.png

然后后面的就是代理流量啦,用的狗洞,就不多浪费口舌了...

然后发现一个从未见过的waf

3.png

惊奇,二爷守的站,撤了撤了 ,对不起,打扰了。

0x03 总结

  • 拿到了vpn地址,知道了规则为什么不爆破?

限制爆破,换脚本加载代理池,加上字典,比较浪费时间,毕竟时间只有2天,来就花了半天...

  • 为什么不继续深入下去?

还是那句话 ,时间不够,第二天下午的高铁票...

文章较菜,还望多多包涵..

注:此次渗透已授权,如打码不严谨,望各位不要非法尝试。

注:此次渗透已授权,如打码不严谨,望各位不要非法尝试。

注:此次渗透已授权,如打码不严谨,望各位不要非法尝试。

Leave a Comment

7 Comments
  1. distance

    盛邦的WAF

  2. 小c

    远江盛邦的关二爷

  3. itmoox

    JAVA反序列化漏洞怎么发现的可以说一下吗

    1. @itmooxshiro反序列化吗?你百度apache shiro反序列化漏洞就有相关信息的,可以瞅一瞅

  4. Pas4w0rd

    现在学校的安全意识这么好吗,raywaf

  5. 这好像我们学校

  6. 阿龙

    通过什么特征发现的使用shiro,还是盲猜呢?