潜伏两余年黑入学校后台

  • A+
所属分类:安全闲碎

哈喽大家好,我是城南

刚入学便盯上了学校官网
准备了很长一段时间成功将其拿下

潜伏两余年黑入学校后台

处于好奇,刚入学的每节下课我都会去学校周围转转,找找学校的机房位置,在此过程中零零碎碎的又发现了很多台内网电脑,但都是透过门缝,或窗户,始终没能触及。

内网碰不到,打算从外网黑进去,于是我打开了百度,搜索母校的官网


潜伏两余年黑入学校后台


呈现出来的是母校学校独有的cms主页,接着浏览一下前台主页,用户注册完则是一个权限比较小的会员,上传点无用,而后开始信息收集


潜伏两余年黑入学校后台


在whosi中,查到了注册商的一些信息,后期可以做社工来用,然而注册人信息却是少之又少,而后开始对服务器的指纹进行采集


潜伏两余年黑入学校后台


无waf,无cdn,一马平川,而后我打开扫描器对网站一通扫描,没有任何信息,转到前台无奈权限太死,换做后台漏洞点应该会很多,然后我用域剑扫到了学校后台页面,果断跳转过去


潜伏两余年黑入学校后台


弱口令admin/admin 小测一下,密码错误,直接按f12进行前台代码审计,敏感的js文件一个不落的都看了一遍,无果,而后猜测可能会有逻辑漏洞,点击忘记密码,用户名admin,需要答案,这里尝试绕过


潜伏两余年黑入学校后台


其中验证逻辑js文件,有一处函数的调用很是有问题,在第147到151行内,对 Answer的事件声明调用cookie验证,却在验证的时候没有进行调用,也就是说,没有这个事件,便能绕过验证,触发找回功能


潜伏两余年黑入学校后台


按着这个思路走,我把 Answer事件删掉,点击找回密码,密码便直接弹了出来输入用户名和密码直接登录进去,期待已久的后台,漏出了面目


潜伏两余年黑入学校后台


由于是学校外包给某公司开发的一套独立cms,开发初期也就没有想到过后台的防护,浏览了一下大致主页


潜伏两余年黑入学校后台


可以看到有很多的目录,后台对上传文件也未做任何限制,随便找一处上传点,直接传了个aspx大马过去


潜伏两余年黑入学校后台


远程访问免杀大马,可以打开,服务器连个火绒都没有,普通的马子直接可以进到shell界面


潜伏两余年黑入学校后台


拿到webshell,而后的操作权限就很高,学校内网的8台电脑,一台域控,分布在图书楼3楼和4楼的每间办公室里,而那里是学校最隐蔽的地方,内网的敏感,促使我没再往下了,而是盯上了另一个系统


潜伏两余年黑入学校后台


校微信公众号上为新生提供了分班查询系统,由于我已不是新生,没办法去看里面的内容,对其前台进行漏洞检测,让我发现了一处漏洞,验证码处点进去有一个参数t


潜伏两余年黑入学校后台


当t等于4验证码等于一个数,改成t等于3,看看有无变化


潜伏两余年黑入学校后台


验证码有所改变,我把包文件丢到sqlmap里跑,有某盾,简单编写payload绕过后,很快跑出来了一个注入点


潜伏两余年黑入学校后台


数据库信息直接爆了出来,接着我去查询其权限


潜伏两余年黑入学校后台


root权限,而后便看到了所有新生的个人信息


潜伏两余年黑入学校后台


整理好漏洞,提交到了edusrc,没过多久这个漏洞就被学校修复了,而我的webshell还在,也就启动了自杀模式,杀掉了本该有的马子


我是城南,一名热爱生活的少年
注:本次渗透测试获得edusrc授权
     在给定测试范围内开展渗透

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: