某大学渗透实录-已授权测试

二爷护体

0x01 信息搜集
首先给定的目标为xxx大学官网:www.xxx.edu.cn，但是不要真的就只是对主站进行测试了，一般像这种主站都是比较安全的，大概率采用一些站群系统，像学校很多使用博达的统一管理，自带waf

0x01x0 子域名采集
可以通过subdomain3,fuzzdomain，subDomainsBrute,seay子域名爆破

但是上述的我在此次渗透中并未使用，爆破时间太长了.

我用的fofa，shadon这些个网络空间搜索引擎

比如下图：

0x01x01 端口信息
通过上面fofa的结果，得知ip地址，使用端口扫描工具扫描。未发现可利用端口

然而很多站点的ip都是这个，感觉像是做的反向代理

遂放弃端口

0x01x02 敏感信息搜集

github搜索
google hacking
凌风云网盘搜索

然后并没有搜集到一些敏感的东西邮箱使用的是腾讯的企业邮箱，vpn是这个样子的

然后搜集到的部分邮箱账号如下图

通过浏览网站，搜集到部分内网系统

通过查看统一认证平台的提示和部分社工得知学生用学号加身份证后6位(默认密码)可以登陆

于是呢俺搜集了一波学号备用

site:xxx.edu.cn 学号

0x02 漏洞挖掘
搜集了部分需要的信息，就开始对着各个子域名进行挖掘了，找了半天，大部分的系统都是采用的统一的模板，功能比较单一，并未发现什么漏洞

site:xxx.edu.cn inurl:login
site:xxx.edu.cn intitle：登陆

然后我便把重心放在了一些登陆系统上

然后找到了一处系统登陆

此时我记住了他的提示，用户名和密码为自己的工号，那么就是说这里面可能会有一些教师的工号信息，而正好运气不错，这个系统的系统管理员账号是个弱口令

admin&admin 进入后台后，找到用户信息，得知教师账号为5位的数字，可以看到地址栏有action，我测试了str2，然后我在刷新网页打不开了，目测被封ip...

然后知道了用户规则，就写个脚本做字典备用

#!/usr/bin/env python
# -*- coding:utf-8 -*-
# datetime  :2019/7/10 8:44

begin_num = 0 # 开始参数 从第几个数字开始生成
end_num = 20000 # 结束参数 到第n个参数停止
print("""
    运行该脚本后，会在脚本所在目录生成5.txt ，里面存放的是生成好的数字
""")
for i in range(begin_num, end_num + 1):
    if i < 10:
        i = "0000" + str(i)
    elif i < 100:
        i = "000" + str(i)
    elif i < 1000:
        i = "00" + str(i)
    elif i < 10000:
        i = "0"+str(i)
    with open("5.txt", 'a') as f:
        f.write(str(i) + "\n")

print("程序运行完毕，文件已生成")

然后就是在这个后台找注入啊，上传啊，无果，遂记录在文本，换另外的域名

然后看到选课系统