0x01 信息搜集
首先针对子域名、IP 段、端口做收集,如下:
www.edu.cn 222.206.X.X 官网
mail.xx.edu.cn 222.206.X.X 邮箱系统采用腾讯的企业邮箱
chuangye.xx.edu.cn 222.206.X.X 前台无交互
zsb.xx.edu.cn 222.206.X.X 招生办
jf.xx.edu.cn 222.206.X.X 缴费系统 后发现注入
jwxt.xx.edu.cn/ 222.206.X.X 正方教务系统 无 0day
222.206.X.X/24
222.206.X.X:8087 教材系统
222.206.X.X 泛微 OA
222.206.X.X 进销存系统
这里针对信息搜集这块如果要做到更全面可以针对域名做一下敏感文件、目录扫描,或者进行 whois 做更一步的资产收集。
没有 CDN。
说一下高校的渗透思路,重要围绕以下几点:
弱口令、学号、身份证号、敏感信息泄露、OA、学工/教务系统、水卡/饭卡系统、SQL 注入。
开始信息收集,学校有很多文件,不脱敏很容易导致信息泄露,从而对我们渗透测试达到意想不到效果。
site:xxx.edu.cn 使用指南 | 工号 | 学号 | 系统|vpn|手册 | 默认密码|
目前可知的系统包括 OA 系统(泛微 OA),教务系统地址,信息管理 QQ 群,信息部邮箱,电话,姓名,学生姓名学号,密码规则等。
后针对官网做了简单的测试,发现编辑器为 KindEditor,看了看版本无法利用。
后又针对缴费系统做了一波测试,发现存在 SQL 注入。虽然是 DBA 权限,但由于是 Oracle 数据库且是缴费系统拿不了 shell,于是验证了一下漏洞就没再继续深入。
0x02 内鬼潜入
根据上面搜索到的网站信息和信息系统管理 QQ 群以及信息中心的老师姓名,于是尝试混入其中,加群的申请就写:信息中心 XXX;个人觉得写的越少越好。
结果没过一会就加了进去,由于当时怕被踢出去第一时间找到群文件进行一通下载,结果不出意外,发现了官网的后台账号密码。
现在 QQ 更新之后,加群之后都会有个自我介绍,于是我填的申请信息就会在审核通过后自动发到群里,导致惊动了一些其他人,后没过一会就被踢出群聊,翻了下下载的文件,整体也就一个学校官网的账号密码。
既然拿到了官网账号,索性登录后台尝试 getshell。
搞了半天发现网站有安全狗,问题不大。
尝试绕过(空文件名)不确定是否绕过,官网的防护也挺严格的,burp 没有返回文件路径且前台无法查看文件地址,导致最终没有 getshell。
尝试了很多上传点,要么是 WAF 绕过但是有白名单要么是上传成功没有绝对路径且文件名是随机的,暂且不针对文件名做爆破,点到为止。
后来问了信息科老师,去服务器上看了下代码,发现上传处确实是白名单写死的。
最终 Getshell 失败。
0x03 Getshell
自从上次拿到官网普通用户权限之后,就一直在想办法在后台 Getshell,可无奈上传点都做了过滤在加上系统比较敏感就没在继续深入,继续把目光转向教材管理系统 222.206.X.X:8087。
打开之后是一个登录页面,输入 admin 发现不存在用户名,他是那种先检测用户名是否存在再去输入密码的一种机制。
二话不说,直接上字典爆破。
密码 123456 直接就登录进去,本以为是个测试账号,没有什么上传点之类的,登录进去之后发现有头像上传和教材查询,后面跑了跑注入发现存在一个布尔的注入,但是准备跑用户直接把网站跑死了。
后面在文件上传处拿了 shell,没有任何过滤。
直接 administrator 权限,成功拿到一台机器,搭建 VPN 隧道进内网。
0x04 内网渗透
这里说个技巧,探测 IP 段的时候针对 .1 .254 .253 进行扫描,比如:
172.16.1.254
172.16.2.254
192.168.1.1
192.168.100.1
10.150.30.254
下面是内网的方面,打内网第一步就是应该先找到存活 IP 段,办公网我们可能是访问不到的,但是业务内网可能是通的,本身还想拿工具探测一波存活 IP 的,后想到由于之前进到了学校官网的后台,后台主页有显示服务器的 IP 为:172.16.XX.XX 是内网 IP,于是直接进行一波信息收集。
Shiro 不存在反序列化,正方教务系统没有 0day,其余还有两个 huawei 的 AP 并没有什么利用价值。
这个时候把目光放在了开票服务器和范围 OA,简单看了下发票服务器有个弱口令进到后台。
本来还想跑一下注入呢,结果流量进行了加密,且不存在 st2 漏洞,有一些简单的信息泄露,没什么利用价值,点到为止。
