標題：某大學滲透實錄

[taibeihacker]

0x01 信息搜集​

首先給定的目標為xxx 大學官網:www.xxx.edu.cn，但是不要真的就只是對主站進行測試了，一般像這種主站都是比較安全的，大概率採用一些站群系統，像學校很多使用博達的統一管理，自帶waf

1.子域名采集​

可以通過subdomain3,fuzzdomain，subDomainsBrute,seay 子域名爆破
但是上述的我在此次滲透中並未使用，爆破時間太長了.
我用的fofa，shadon 這些個網絡空間搜索引擎
比如下圖：
host='xxxx.edu.cn'

2.端口信息​

通過上面fofa 的結果，得知ip 地址，使用端口掃描工具掃描。未發現可利用端口

然而很多站點的ip 都是這個，感覺像是做的反向代理
遂放棄端口

3.敏感信息搜集​

github 搜索google hacking凌風云網盤搜索然後並沒有蒐集到一些敏感的東西郵箱使用的是騰訊的企業郵箱，vpn 是這個樣子的

然後蒐集到的部分郵箱賬號如下圖

通過瀏覽網站，蒐集到部分內網系統

通過查看統一認證平台的提示和部分社工得知學生用學號加身份證後6 位(默認密碼) 可以登陸

於是呢俺蒐集了一波學號備用
site:xxx.edu.cn 學號

0x02 漏洞挖掘​

蒐集了部分需要的信息，就開始對著各個子域名進行挖掘了，找了半天，大部分的系統都是採用的統一的模板，功能比較單一，並未發現什麼漏洞
site:xxx.edu.cn inurl:login
site:xxx.edu.cn intitle：登陸
然後我便把重心放在了一些登陸系統上

然後找到了一處系統登陸

此時我記住了他的提示，用戶名和密碼為自己的工號，那麼就是說這裡面可能會有一些教師的工號信息，而正好運氣不錯，這個系統的系統管理員賬號是個弱口令
adminadmin 進入後台後，找到用戶信息，得知教師賬號為5 位的數字，可以看到地址欄有action，我測試了str2，然後我在刷新網頁打不開了，目測被封ip.

然後知道了用戶規則，就寫個腳本做字典備用
#!/usr/bin/env python
# -*- coding:utf-8 -*-
# datetime :2019/7/10 8:44
begin_num=0 # 開始參數從第幾個數字開始生成
end_num=20000 # 結束參數到第n個參數停止
print('''
運行該腳本後，會在腳本所在目錄生成5.txt ，裡面存放的是生成好的數字
''')
for i in range(begin_num, end_num + 1):
if i 10:
i='0000' + str(i)
elif i 100:
i='000' + str(i)
elif i 1000:
i='00' + str(i)
elif i 10000:
i='0'+str(i)
with open('5.txt', 'a') as f:
f.write(str(i) + '\n')
print('程序運行完畢，文件已生成')
然後就是在這個後台找注入啊，上傳啊，無果，遂記錄在文本，換另外的域名
然後看到選課系統

就是用學號做賬戶密碼，成功登陸進去

貌似沒什麼用，但是這個我蛋疼的是，測試上傳的時候，改了個腳本格式的後綴，死活發不出去數據包，結果回到網頁刷新，鏈接被重置. 沒錯我ip 又被ban 了.
然後我在嘗試爆破了一下教師賬戶，同樣是賬戶做密碼

進去後，四處看了看，還是沒能取的什麼進展
用同樣的辦法，我進入了研究生管理系統、學生繳費查詢系統(還真就是只查詢.)、最後在財務xx 系統中稍微得到部分進展

是的，沒看錯，身份證號碼，於是我智障的試了100 次，拿下了14 個存在身份證的教師賬戶，不過貌似都是一些退休的教師，權限應該很低或者完全進不去
然後我來到了統一身份認證平台去試著登陸，結果登陸進去了.(教務登陸不進去)

於是在這裡開始，算是有了突破。因為這裡的部分系統沒有認證是無法打開的，比如這次的突破點：公寓管理系統
認證前打開:

認證後打開：

果然沒權限. 點擊重新登陸，就可以訪問這個系統

於是也證明了，這個系統只能是登陸過統一認證平台的用戶才能使用。然後恰巧這個系統存在一個java 的反序列化漏洞
於是通過這個反序列化漏洞(shiro 反序列化)，獲得了一個反彈shell，機器為root 權限

然後後面的就是代理流量啦，用的狗洞，就不多浪費口舌了.
然後發現一個從未見過的waf

驚奇，二爺守的站，撤了撤了，對不起，打擾了。

0x03 总结​

1.信息收集子域名：fofa(host='xxxx.edu.cn')端口收集：御劍掃描工具，網站採用反向代理端口只允許443或者80端口出網敏感信息收集：1.github收集（無源代碼洩露和郵箱洩露）2.凌風云網盤搜索（無百度網盤和騰訊網盤等敏感信息）3.goog hack收集到學號：site:xxx.edu.cn 學號登錄：site:xxx.edu.cn inurl:login 或者site:xxx.edu.cn intitle：登陸2.預覽官網主頁鏈接獲得其他子域名系統、以及郵箱賬號3.發現統一認證平台採用工號和身份證後6位數登錄4.發現資產與實驗室平台使用工號作為用戶名和密碼，這裡可以通過弱口令admin,admin進入系統得到教師工號以及該系統存在struts2漏洞，被WAF攔截5.發現選課中心，採用賬號和密碼都是學號和教師工號可進入系統。改系統存在文件上傳，也被WAF攔截6.其他系統如研究生管理系統、學生繳費查詢系統、財務xx 系統都存賬號和密碼都是工號的可進入系統，可收集到教師賬號綁定的身份證號碼。 7.得到教師賬號和身份證號碼可進入統一認證平台。可登錄到宿舍管理系統（前提需要先登錄統一認證系統）8.宿舍管理系統存在shiro反序列漏洞，但是只能遠程反彈NC原文鏈接：https://www.xljtj.com/archives/dxst.html