記一次針對某高校的滲透測試

0x01 信息搜集

首先針對 子域名、IP段、端口 做收集，如下：

www.edu.cn 222.206.X.X 官網mail.xx.edu.cn 222.206.X.X 郵箱系統采用騰訊的企業郵箱chuangye.xx.edu.cn 222.206.X.X 前臺無交互zsb.xx.edu.cn 222.206.X.X 招生辦jf.xx.edu.cn 222.206.X.X 繳費系統 后發現注入jwxt.xx.edu.cn/ 222.206.X.X 正方教務系統 無0day
222.206.X.X/24222.206.X.X:8087 教材系統222.206.X.X 泛微OA222.206.X.X 進銷存系統

“這里針對信息搜集這塊如果要做到更全面可以針對域名做一下敏感文件、目錄掃描，或者進行whois做更一步的資產收集”

沒有cdn

說一下高校的滲透思路，重要圍繞以下幾點：

弱口令、學號、身份證號、敏感信息泄露 、OA、學工/教務系統 、水卡/飯卡系統、SQL注入

開始信息收集，學校有很多文件，不脫敏很容易導致信息泄露，從而對我們滲透測試達到意想不到效果。

site:xxx.edu.cn 使用指南|工號|學號|系統|vpn|手冊|默認密碼｜

目前可知的系統

單單從信息收集，所掌握的情況有：

OA系統（泛微OA），教務系統地址，信息管理QQ群，信息部郵箱，電話，姓名，學生姓名學號，密碼規則。

后針對官網做了簡單的測試，發現編輯器為kindeditor，看了看版本無法利用。

后又針對繳費系統做了一波測試，發現存在SQL注入，如圖：

雖然是DBA權限，但由于是Oracle數據庫且是繳費系統拿不了shell，于是驗證了一下漏洞就沒再繼續深入。

0x02 內鬼潛入

根據上面搜索到的網站信息和信息系統管理QQ群以及信息中心的老師姓名，于是嘗試混入其中，加群的申請就寫：信息中心XXX；個人覺得寫的越少越好

結果沒過一會就加了進去，由于當時怕被踢出去第一時間找到群文件進行一通下載，結果不出意外，發現了官網的后臺賬號密碼：

現在QQ更新之后，加群之后都會有個自我介紹， 于是我填的申請信息就會在審核通過后自動發到群里，導致驚動了一些其他人，后沒過一會就被踢出群聊，翻了下下載的文件，整體也就一個學校官網的賬號密碼，當時加的另一個信息管理系統群挺可惜的，第一時間進去我沒有注意到，等到想去翻文件的時候卻發現被踢了 ?

既然拿到了官網賬號，索性登錄后臺嘗試getshell

搞了半天發現網站有安全狗，問題不大

嘗試繞過（空文件名）不確定是否繞過，官網的防護也挺嚴格的，burp沒有返回文件路徑且前臺無法查看文件地址，導致最終沒有getshell。

嘗試了很多上傳點，要么是waf繞過但是有白名單要么是上傳成功沒有絕對路徑且文件名是隨機的，暫且不針對文件名做爆破，點到為止。

“后來問了信息科老師，去服務器上看了下代碼，發現上傳處確實是白名單寫死的。”

最終Getshell失敗。

0x03 Getshell

自從上次拿到官網普通用戶權限之后，就一直在想辦法在后臺Getshell，可無奈上傳點都做了過濾在加上系統比較敏感就沒在繼續深入，繼續把目光轉向教材管理系統 222.206.X.X:8087

打開之后是一個登錄頁面，輸入admin發現不存在用戶名，他是那種先檢測用戶名是否存在再去輸入密碼的一種機制，如圖：

二話不說，直接上字典爆破，如圖：

密碼123456直接就登錄進去，本以為是個測試賬號，沒有什么上傳點之類的，登錄進去之后發現有頭像上傳和教材查詢，后面跑了跑注入發現存在一個布爾的注入，但是準備跑用戶直接把網站跑死了?...

后面在文件上傳處拿了shell，沒有任何過濾，直接上圖：

直接administrator權限，成功拿到一臺機器，搭建VPN隧道進內網。

0x04 內網滲透

這里說個技巧，探測IP段的時候針對.1 .254 .253進行掃描，比如：

172.16.1.254172.16.2.254192.168.1.1192.168.100.110.150.30.254

下面是內網的方面，打內網第一步就是應該先找到存活IP段，辦公網我們可能是訪問不到的，但是業務內網可能是通的，本身還想拿工具探測一波存活IP的，后想到由于之前進到了學校官網的后臺，后臺主頁有顯示服務器的IP為：172.16.XX.XX 是內網IP，于是直接進行一波信息收集

Shiro不存在反序列化，正方教務系統沒有0day，其余還有兩個huawei的AP并沒有什么利用價值。

這個時候把目光放在了開票服務器和范圍OA，簡單看了下發票服務器有個弱口令進到后臺：

本來還想跑一下注入呢，結果流量進行了加密，且不存在st2漏洞，有一些簡單的信息泄露，沒什么利用價值，點到為止。

此時把重點轉移到泛微OA上，因為之前信息搜集到OA的系統管理員名稱為sysadmin，然后想到系統有找回密碼的功能，嘗試看看能不能撿到漏，結果確實把我整無語了：

最終我并沒有修改密碼進后臺，而是準備用一波信息搜集的思路嘗試打進去，說下思路：

像這種學校的OA一般登錄用戶名要么是教職工的工號要么就是教職工的姓名（全拼短拼），密碼的策略是Hh+身份證后6位（信息收集來的），但是教師的身份證號肯定不能進行批量的獲取，但是我們可以通過社工庫進行獲取，在進行密碼的爆破成功率會高一點。

此刻問題就來了，用戶名怎么獲取，目前可以猜測一波，比如老師姓名叫做：張三豐，那么用戶名可能為zhangsanfeng或者是zhangsf，于是以我們導員為例進行測試，如圖：

上圖為全拼，下圖為簡拼，用戶名策略已經知道，準備爆破密碼，信息搜集了一波身份證進行爆破，結果發現密碼不正確，這就很難受了，當時在這里卡了很長時間不知道下一步怎么做，后來一想學校給我們弄了教育郵箱，想著能不能登錄到教育郵箱查看通訊錄，上面可能會有全校老師的姓名（當時沒有截圖）

F12看了看流量發現泄漏了很多信息，正則提取一下姓名生成個列表

用這些用戶進行爆破，爆破下來發現一個沒成功，看樣子像是沒有弱口令，于是去爆破密保問題，看看有沒有比較簡單的密保問題，

長度354的代表設置了密保問題，于是進行一個個的查看密保問題是什么

其中有一個問題是手機號，這一想之前信息泄漏就有手機號于是剛好可以找到手機號

于是又回到了了熟悉的界面

0x05 結束語

最終內網橫向用時一周，內網沒有域，但也拿到很多權限，由于敏感就不寫上來了，簡單說一下過程：

1. 通過第一臺主機探測存活IP段后發現諸多內網IP段2. 讀了一下主機的數據庫連接密碼，遠程登錄密碼，翻了一下敏感文件3. 針對讀取的密碼做內網的服務爆破4. 針對IP段做端口掃描，進行橫向5. 利用其他機器做跳板，進入辦公網6. 最終拿下核心數據庫核心服務器以及管理系統

文章來源：pphua（語雀）原文地址：https://www.yuque.com/pphua/hacksb/jug