記一次校園內網的edusrc漏洞挖掘

以下提及的漏洞都提交到 edusrc平臺進行修復

webvpn 突破

受到 en0th師傅文章 啟發，對學校 webvpn 進行了一次src漏洞挖掘測試

賬號為學號，密碼規則 在web頁面也給出來了，搜索開源信息，能搜索到學號和對應的人名

內網資產

進入內網系統后，發現點擊相應的鏈接可以訪問相應的內網資源

對相應的內網域名及ip訪問 會經過webvpn加密后再次拼接，如果想獲取更多內網資源，就必須知道ip和域名的加密規則

https://webvpn.xxxx.edu.cn/http/77726476706e69737468656265737421a1a013d2756326012c5ac7f8ca/

通過頁面源碼的關鍵字 搜索，發現了 公開的webvpn 的url加解密流程，經過測試發現key和iv都是默認的

//安裝aes-js庫
npm install aes-js

//引入庫，從cmd終端輸入讀取weburl來進行加密
const weburl = process.argv.slice(2)[0];
var aesjs = require('aes-js');

//加密代碼，然后輸出
console.log(encrypt(weburl,wrdvpnIV,wrdvpnKey));

調用nodejs來運行 加密腳本，獲取到url拼接內容

用python 編寫腳本 ，調用 os.popen() 讀取控制臺加密的url，對webvpn界面顯示的210.xxx 、121.xxxx 等網段進行一次掃描， request 發包可以對內網存在的web資源進行一次掃描

import os 

cmd = 'node wrdvpn.js ' + url
pipeline = os.popen(cmd)
result = pipeline.read().strip()
print(result)

除此之外，webvpn 還可以拼接端口和協議，類似規則為 /http-xxx/ /https-xxxx/

漏洞挖掘

掃描得到了很多內網的資產

簡單查看其中一些資產，發現了一個科研管理系統的資產，發現 網上都有公開的POC

存在Orcale SQL注入漏洞，但是 Sqlmap 無法進一步獲取數據，漏洞危害比較小

未授權任意文件下載，無需登錄，遍歷id就可以對科研文件進行下載

還有很多校園內網資產，后面再慢慢看