实战 | 对某授权学校的常规渗透

“ 全篇1289字，整篇阅读大概耗时5分钟~”

0x01 前言

本次测试为公司的常规项目，一共分为两个部分，前一部分是当时项目测试时挖掘的常规漏洞记录，后一部分是后期延伸的测试（host碰撞突破边界getshell）。前面测试的过程里面提及的漏洞都已修复，第二部分的漏洞至今仍未修复，故文章会厚码，望见谅。

0x02 测试过程

公司提供的测试站点为：xxx.edu.cn，首先针对子域名下手，因为大部分的学校和学院的官网，都属于纯前端界面，测试意义不大，除非是山穷水尽的时候可以利用扫描器扫描，看看是否存在隐藏目录、备份文件泄露等，但大部分时间还是放在业务网站上，比如某后勤网站，某教务管理之类的系统上。

利用ShuiZe工具进行信息收集，用法如下：

以下是收集到的部分可利用信息：

第一块为子域名信息。

第二块为host碰撞记录。

第三块为漏洞列表。

然后根据漏洞列表中的漏洞进行漏洞探测：

用Summer177的seeyou_exp扫了一波发现致远OA为误报，再用awvs探测log4j，也没有结果。而针对shiro的探测，首先复现的几个绕过漏洞，然后再利用定制版的Xray结合1200多个key进行反序列化漏洞扫描，最终均无果。

好在Xray争气，利用拼接大法成功发现一个sql文件泄露。所谓拼接大法也是Xray的原理之一：在跑备份文件时会自动匹配当前域名，然后将获取的子域名作为文件名字，并生成字典，再利用这份字典去跑备份文件等信息泄露漏洞。

在该sql文件发现大量敏感信息，其中包括管理员的登录密码，然后利用组合大法成功拼接出后台地址（常规后台目录拼接）。

小技巧：在进行目录手工拼接时，注意一个小细节，如果目录真实存在则会在末尾自动补齐反斜杠/，相反目录不存在，就不会补齐，通过此方式进行目录猜测。

小科普：这里的admin.html、admin.php、admin.jsp会让Xray误报，因为thinkphp在匹配路由的时候匹配到admin时，就已经完成匹配了。包括很多站点的index.html用dirmap或dirsearch去跑的时候都会返回200，所以在一定程度上给我们造成了很多阻碍。

泄露的密文可以在cmd5成功解出，没想到居然是个弱口令。。。

成功登录后台。

登录后发现功能点挺多，但上传文件处均被白名单限制住，且未能绕过。

然后看了下静态文件，发现有个Public的目录，且该目录下存在目录遍历漏洞，并且还存在Ueditor。

对Ueditor的历史漏洞进行探测，最终发现只存在php版本的SSRF漏洞和上传xml文件造成的XSS漏洞。

上传xml到XSS的过程记录：

1、首先确定Ueditor的版本。

2、获取能够上传的文件列表，里面提示了可以上传xml文件。

3、找到上传图片的路径。在前端上传图片，然后burp修改内容为xml文件内容，以及相应的XSS Payload。

4、返回包会返回上传后的文件地址，访问就能成功执行XSS脚本。

在前期信息收集时发现该学校还有好几个正方教务系统，并且都存在日志泄露，但是泄露出来的学号没有利用上，针对登录框进行密码喷射也都没成功，而且有些网站明明存在登录日志，但登录测试时就提示一个错误，虽然有几个可以登录，但都没爆破出来。奈何自己技术浅薄，麻烦各位师傅有妙招时能提醒一下。

为了方便统计，写了一个小工具去跑这些泄露的学号，便于后续测试。

0x03 总结

在本次测试中，大多是利用工具进行延伸探测，虽然盲目借助工具会让我们产生思维惰性，但有效的将工具和手工结合，也会增强我们思维的扩展性，当然最好的就是咱们自己根据对漏洞的理解，开发出属于自己的小工具。

原文始发于微信公众号（哈拉少安全小队）：实战 | 对某授权学校的常规渗透