卧底两载黑进学校后台

admin 2020年9月13日16:33:22评论222 views字数 1217阅读4分3秒阅读模式

哈喽大家好,我是城南

刚入学便盯上了学校官网
准备了很长一段时间成功拿下

卧底两载黑进学校后台

处于好奇,刚入学的每节下课我都会去学校周围转转,找找学校的机房位置,在此过程中零零碎碎的又发现了很多台内网电脑,但都是透过门缝,或窗户,始终没能触及。

内网碰不到,打算从外网黑进去,于是我打开了百度,搜索母校的官网


卧底两载黑进学校后台


呈现出来的是母校学校独有的cms主页,接着浏览一下前台主页,用户注册完则是一个权限比较小的会员,上传点无用,无权限,而后开始信息收集


卧底两载黑进学校后台


在whosi中,查到了注册商的一些信息,后期可以做社工来用,然而注册人信息却是少之又少,而后开始对服务器的指纹进行采集


卧底两载黑进学校后台


无waf,无cdn,一马平川,而后我打开扫描器对网站一通扫描,无果,前台权限太死,换做后台会快很多,然后我用域剑扫到了学校后台页面,果断跳转过去


卧底两载黑进学校后台


弱口令admin/admin 小测一下无果,直接按f12进行前台代码审计,敏感的js文件一个不落的都看了一遍,无果,而后猜测可能会有逻辑漏洞,点击忘记密码,用户名admin,需要答案,而后开始对其验证逻辑代码进行审计


卧底两载黑进学校后台


其中验证逻辑js文件,有一处函数的调用很是有问题,

在第147到151行内,对 Answer的事件声明调用cookie验证,却在验证的时候没有进行调用,也就是说,没有这个事件,便能触发找回功能,因为服务器没有进行验证身份


卧底两载黑进学校后台


然后我把 Answer事件删掉,点击找回密码,密码便直接弹了出来输入用户名和密码直接登录进去,期待已久的后台,漏出了面目,简单浏览一下,寻找上传点,直接拿webshell


由于是学校外包给某公司开发的一套cms,开发初期也就没有想到过后台的防护,在某处浏览了一下大质主页


卧底两载黑进学校后台


可以看到有很多的目录,后台对上传文件也未做任何限制,随便找一处上传点,直接传了个aspx大马


卧底两载黑进学校后台


远程访问免杀大马,再去对应目录下直接访问,可以打开而后输入大马web密码3389,


卧底两载黑进学校后台


直接进入马子,拿到webshell,而后的操作权限就很高,学校内网的8台电脑,一台域控,分布在图书楼3楼和4楼的没间办公室里,而那里则是学校最隐蔽的地方,内网的敏感,促使我没再往下了,而是盯上了另一个系统


卧底两载黑进学校后台


关注微信公众号找到分班查询系统,由于我已不是新生,没办法去看里面的内容,对其前台进行漏洞检测,验证码处点进去有一个参数t


卧底两载黑进学校后台


当t等于4验证码等于一个数,改成t等于3,看看有无变化


卧底两载黑进学校后台


验证码有所改变,我把包文件丢到sqlmap里跑,有某盾,简单编写payload绕过后,很快跑出来了一个注入点


卧底两载黑进学校后台


数据库信息直接爆了出来,接着我去查询其权限


卧底两载黑进学校后台


Administrator权限,而后便看到了所有新生的个人信息,学校漏洞导致全校学生身份信息泄露,中危


卧底两载黑进学校后台


整理好漏洞,提交到了edusrc,没多久这个漏洞就被修复了,而我的webshell还在,也就启动了自杀模式杀掉了该有的马子


我是城南,一名热爱生活的少年
注:本次渗透测试获得edusrc授权
     在给定测试范围内开展渗透
   任何未授权渗透测试都是违法

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年9月13日16:33:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   卧底两载黑进学校后台http://cn-sec.com/archives/130954.html

发表评论

匿名网友 填写信息