免责声明

本公众号致力于安全研究和红队攻防技术分享等内容，本文中所有涉及的内容均不针对任何厂商或个人，同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失，均由使用者本人承担。请遵守中华人民共和国相关法律法规，切勿利用本公众号发布的技术或工具从事违法犯罪活动。最后，文中提及的图文若无意间导致了侵权问题，请在公众号后台私信联系作者，进行删除操作。

0x01

前言

几个月前笔者参加了一次教育行业的项目，刚接到这个项目的时候心想：完了这该怎么打。为什么会这么想呢，由于有教育src的存在，有非常多的学生和白帽子们会经常性对国内的高校和教育系统单位的网站进行测试，所以当时的第一反应就是：

0x02

信息收集

那来都来了，为了保住饭碗只能好好努力了，从前几天的摸索发现，高校的网站基本都有一样的特点：
1． 基本所有对外开放的网站都有waf

2． 看似资产很多，大多都需要sso登录或者拨vpn才能访问
3． 参加多次演练，对内安全培训较多

好多学校明确规定，外借vpn给予处分，导致社工获取难度较大

这下好了，0day又没有，骗又骗不到。

还是在沉下心来做一次信息搜集，听师傅说由于高校人员体量较大，新生迭代速度快，对于老师和学生的网络安全教育任重而道远，人才是最薄弱的环节，而且现在高校普遍开设计算机类的课程较多，那么我们可以尝试通过一些软件项目的托管平台例如GitHub、Gitee等来尝试搜索域名、邮箱+username、password等关键词。

例如：

域名（邮箱）+password（pwd、passwd）关键词+代码类型（一般关注重点关注java、php、python等）

功夫不负有心人，还真找到了一处代码里面泄漏了学号和密码信息，同时发现代码更新时间是在两个月前，说明有大概率是可以使用的，大学由于学习时间跨度较大所以不要看到是6，7年前的代码就觉得肯定失效了（可能从大一读到博士，4+3+3=10年呢）

通过这一处泄漏也是成功登录这位同学的邮箱和vpn进入内网

0x03

梅开二度

在找到第一个账号之后，小外包悬着的心也是放下了不少，嗐也算是有点成果了，不至于被开除了，再努努力说不定能加鸡腿呢，抱着这样的心态，我又去找师傅问了问，师傅师傅代码平台看完了，还有什么地方可能泄漏账号密码呀，师傅和我说，现在语雀信息泄漏挺多的，你去语雀找找吧。
百度了一下：语雀是一款在线文档编辑与协同软件，是一款功能强大的云端知识库软件，可以使用这个软件来管理你的学习笔记、周报、个人日程项目管理、文档知识库以及从云端导入添加团队下的知识库等，点滴学习，随时记录，方便编辑团队内约定的周总结。
好好好，你功能越强大用的人越多，我就越喜欢，这不泄漏的机会大大增加了嘛，说着就打开了语雀一顿搜索，语雀搜索也是有一些技巧的，笔者在搜索时发现平台会自动屏蔽一些敏感词，像密码、vpn、银行等会提示无搜索结果

我们只要稍微对关键词进行修改就行bypass，比如将密码的码去掉就能搜索到很多信息。

言归正传，还是用之前的思路，通过域名高校名称来进行搜索，发现了一处信息泄漏。

但是呢通过此处泄漏的账号和密码进行登录，发现无法登录vpn和邮箱，当时尝试了好久非常的不甘心，但是怎么都登陆不上去，就在要放弃的时候发现了文档里还有一些服务器地址。

对这些服务器用上面获得的密码进行变形爆破，发现其中一台服务器可以登录成功。

当时心里一喜，有戏这个密码他确实还在使用，但是为什么邮箱和vpn登录不了呢，静下心来想一想，可能和账号是姓名而非学号有关，正常登陆vpn一般用的是学号，那怎么找学号呢，既然他在语雀上有泄漏，说明他应该经常会发布一些东西，那去github搜一下他这个账号试试，非常幸运，从GitHub找到了一个他的qq邮箱。

那么知道qq邮箱，使用了某些途径发现，这个邮箱曾经泄漏过他的学号。

通过这个学号和之前爆破出他服务器的密码变形对vpn尝试手工爆破，终于成功登陆学校的sso和vpn。

0x05

思考

本次项目通过信息搜集一共获取了两个高校的内网权限，从技术上来说并没有什么难度，就是细心一些，找到一些别人没有注意的地方，其中第二个账号的获取还是比较曲折的，希望能通过这样的文章和大佬们进行分享和交流，最后本文的所有案例和思路仅供学习和交流，同时也给广大教育行业从业者以安全警示作用，切勿利用本文中的工具或思路从事违法犯罪活动。

原文始发于微信公众号（Lambda小队）：你猜我猜不猜的出你的强口令