对学校进行的一次测试
网络安全无偿教学18-22岁家庭困难的女生,要求身高1米65以上,长相甜美,温柔听话,可Cosplay,萝莉优先。毕竟再苦不能苦教育,再穷不能穷孩子,大爱无疆,人间有真情。
资产大体分布
我们学校属于是几乎没有资产的那种,就算有也不是在本校。在我初中的时候,学校开了个城域网在校内架设了评卷系统+师生工作系统(自研),结果师生工作系统明文保存了sqlserver信息被我一把梭了。现如今学校早就关闭了校内架设的服务器,将评卷系统搬到了其他主机商托管,并引进了师生OA系统。
翻了翻以前的ip发现学校已经弃用了,这两个系统又不与学校网络互通,所以内网是打不了了。以后还有机会我一定还要把电脑插到学校网口但听领导说监控是通外网的,因为连接了市级公安局对接高考监考。对此,我想对我自己说:这位不知名的小同学你真的愿意尝试打进市级公安局吗
师生OA
外包的外包的,查了一下资产搜索引擎没什么别的发现,都是千篇一律的同模板系统。
入口在学校公众号,使用微信登录鉴权后赋予用户cookie,没发现sessionkey泄露。抓包得知是一个thinkphp,利用工具没能成功利用,反观回小程序
首页十二个功能,最终得知所有的上传点都是利用微信api进行上传,上传成功后将文件定义为一个资源id再被oa进行调用,无法绕过。
在公开信息中发现模块中的内容是调用的信息id,其他(如消息通知、子女请假记录)都是字符串
发现一个疑似sql注入点
但没能利用成功,不知道是目标站有做关键词过滤还是什么,尝试多种绕过方式都没反应
子女历次成绩模块里是直接post了一个sid,这个sid是我们校卡上的学号
sid未做鉴权导致可以查询任意学生成绩,喜欢我视奸你的成绩吗宝宝
至此首页功能模块测试完毕,回到个人页
更改手机号发现后端未限制验证码核验次数,导致无限制爆破后成为该学生的赛博家长。
前提是你能拿到女神家长的cookie。
子女班级信息里面只有一个班群二维码能看,看了一下,,越权获取其他班的。。。班群二维码
感觉女神离我更进一步了 嘿嘿
再看一下教师系统,跟学生是一样的,用cookie的某个值分辨返回不同页面
发送验证码时后端核验手机号码是否为教师号码,正好可以用越权获取班群二维码来获取教师号码(你要是爆破我也没话讲)。由于每个教师的身份是一微信一绑定,并且所有的班主任都是强制绑定微信进行班级管理的,所有我就算爆到了也没办法过这个绑定校验,寄..
再回到网站本身,爆破到了后台链接
哦手机号登陆阿。
算了。我们学校就这一个管这块信息的老师,社工到手机号成功获取username,但是有csrf校验又爆破不了,密码错了五次锁半小时。草,初一黑服务器的时候获取到了一个密码,无效,然后之前茂安杯比赛把电脑搬回学校黑了学校主路由又获取到了一个密码,但是忘了,回学校的时候再找一下。尼姆的密码喷洒我恨你
什么?你问我怎么知道密码就是这个老师的?你猜猜他的密码有没有名字缩写…….
oa这块就看到这里,教师oa下次直接往老师电脑种马拿老师cookie再来分析下。
总结:这破b学校都get不了shell,菜就多练听到了吗向诚同学
评卷系统
系统指纹:「全通教学质量监测平台——AMEQP评卷系统」
对系统的ip进行资产搜集,发现目标服务器除了假设一个评卷系统可以入手外,并没有其他的利用点。
IIS 8.5没什么好看的,反观评卷系统,也是外包的,跟初中是一个厂商。个别老师的密码与学生账号密码一致(反正都是默认密码),弱口令成功进入系统。
翻到一个kindeditor
poc利用未果。这套系统我在半年前草草的看了一下,由于我这两天只有空看小程序,明天返校就没啥时间研究这套系统了。以后有时间再黑盒审计,待续。
半年前还尝试过社工供应链套源码的,可惜由于他们的工作时间与学校安排一致,时间一直对不上也就无法搞来源码,只能灰溜溜的黑盒了。。
后续
本文作于返校前一天晚上,比较可惜的是返校第二天该资产就喜提下线。。也许是我爆破3389的情况被告警了吧
不过好在那天通宵到早上看了几个功能,主要发现有以下几个漏洞点(疑问点?)
- 得到敏感信息泄露接口一枚,泄露了用户信息及密码md5(包括管理员在内),暂未测试是否存在越权
- 成功获取超管权限,后台备份数据库处有一上传点为白名单后缀.bak,下载数据库为zip压缩.bak文件,正在思考可利用方向
- 下载数据库与下载学生成绩的文件获取路径为绝对路径,暂未测试是否存在任意文件下载
- 数据库备份处得到SQLi一枚,似乎仅可对已上传的成绩数据库进行dump,没有办法获取主要数据库内容
- 由于资产已下线其他功能并未来得及继续深入
美美的附一张通宵渗透图,随后提桶跑路。